Abo
  • Services:

Spionagesoftware: Hacking Team nutzt UEFI-Rootkit

Um seine Spionagesoftware permanent auf dem Rechner eines Opfers zu platzieren, nutzt das Hacking Team offenbar auch ein UEFI-Rootkit. Damit lässt sich der Trojaner auch nach einer Neuinstallation des Betriebssystems wieder nutzen.

Artikel veröffentlicht am ,
Über ein UEFI-Rootkit kann Hacking Teams Spionagesoftware nachinstalliert werden.
Über ein UEFI-Rootkit kann Hacking Teams Spionagesoftware nachinstalliert werden. (Bild: Trend Micro)

Im veröffentlichten Datenfundus des Hacking Teams haben mehrere Experten ein UEFI-Rootkit entdeckt. Darüber soll die Spionagesoftware des italienischen Unternehmens auch nach einer Neuinstallation des Betriebssystems wieder auf dem Rechner eines Opfers installiert werden können.

Stellenmarkt
  1. BWI GmbH, Bonn, Meckenheim
  2. persona service Recklinghausen, Herten

Laut einer Analyse des Antivirenherstellers Trend Micro besteht das Rootkit aus drei Komponenten: Ntfs.mod, Rkloader.mod und dropper.mod. Ntfs.mod sorgt für den Zugriff auf die von Windows verwendeten NTFS-Partitionen. Diese Komponente hatte der Linux-Entwickler und UEFI-Experte Matthew Garrett bereits kurz nach der Veröffentlichung des Datenfundus des Hacking Teams entdeckt. Ein Teil des Codes stammt offenbar aus bereits vorhandenen Open-Source-Treibern und wurde selbst unter der GPL veröffentlicht.

Drei Komponenten laden Spionagesoftware nach

Rkloader.mod wiederum lädt das NTFS-Modul und die dritte Komponente Dropper.mod. Darin sind die beiden Dateien Scout.exe und Soldier.exe, die Teil des Remote Component Systems (RCS) sind, der Spionagesoftware des Hacking Teams. Installiert wird dann die Komponente Scout.exe, die laut Trend Micro die Spionagesoftware im Debug-Modus startet.

In der Knowledgebase des Hacking Teams heißt es in einem Eintrag vom 11. März 2015, die Installation des Rootkits sei nur auf einem Asus X550C und einem Dell Latitude E6320 getestet worden. Dort wird eine automatische Installation von einem USB-Stick aus beschrieben. Das Hacking Team weist darauf hin, dass Secure Boot ausgeschaltet werden müsse, damit die Installation klappe.

Das Rootkit sei speziell für das Bios des Herstellers Insyde entwickelt worden, schreibt Trend Micro. Das Insyde-Bios sei weitverbreitet. Außerdem geht Trend Micro davon aus, dass das Rootkit sich auch auf Bios-Versionen von AMI nutzen lasse. Dort wird auch eine komplexere Installationsmethode beschrieben - etwa dass ein Angreifer das bestehende Bios auslese und durch ein manipuliertes ersetze. Beide Angriffsvektoren benötigen physischen Zugang zu dem Rechner eines Opfers. Trend Micro könne aber nicht ausschließen, dass das Rootkit auch über das Netzwerk manipuliert werden könne. Neben der Aktivierung von Secure Boot sollte deshalb auch ein Bios-Passwort gesetzt werden.



Anzeige
Spiele-Angebote
  1. 59€ mit Vorbesteller-Preisgarantie (Release 28.09.)
  2. 59,99€ mit Vorbesteller-Preisgarantie
  3. 54,99€ mit Vorbesteller-Preisgarantie (Release 14.11.)

logged_in 10. Dez 2015

dass unsere Regierung die unterstützt. Nichts gegen vom BND selbsgebackene Rootkits, aber...

Mik30 17. Jul 2015

Du hast keine Ahnung wovon du redest. 1. Flash Chips werden Blockweise (typisch 32K...

manawyrm 17. Jul 2015

EEPROMs sind das leider schon sehr lange nicht mehr. Ja, früher gab es mal eine seperate...

FreiGeistler 15. Jul 2015

Kompatibilität sicherstellen. Was zwischen unterschiedlichen Mainboards heute+/- 10...

spiderbit 15. Jul 2015

Ja werde ich und wenn sich irgendwo was besseres auf tut bin ich sofort weg. Nur durch...


Folgen Sie uns
       


Monterey Car Week - Bericht

Ist die Zukunft der Sportwagen elektrisch? Wir haben die Monterey Car Week in L.A. besucht.

Monterey Car Week - Bericht Video aufrufen
Lenovo Thinkpad T480s im Test: Das trotzdem beste Business-Notebook
Lenovo Thinkpad T480s im Test
Das trotzdem beste Business-Notebook

Mit dem Thinkpad T480s verkauft Lenovo ein exzellentes 14-Zoll-Business-Notebook. Anschlüsse und Eingabegeräte überzeugen uns - leider ist aber die CPU konservativ eingestellt und ein gutes Display kostet extra.
Ein Test von Marc Sauter und Sebastian Grüner

  1. Thinkpad E480/E485 im Test AMD gegen Intel in Lenovos 14-Zoll-Notebook
  2. Lenovo Das Thinkpad P1 ist das X1 Carbon als Workstation
  3. Thinkpad Ultra Docking Station im Test Das USB-Typ-C-Dock mit robuster Mechanik

Segelflug: Die Höhenflieger
Segelflug
Die Höhenflieger

In einem Experimental-Segelflugzeug von Airbus wollen Flugenthusiasten auf gigantischen Luftwirbeln am Rande der Antarktis fast 30 Kilometer hoch aufsteigen - ganz ohne Motor. An Bord sind Messinstrumente, die neue und unverfälschte Daten für die Klimaforschung liefern.
Ein Bericht von Daniel Hautmann

  1. Luftfahrt Nasa testet leise Überschallflüge
  2. Low-Boom Flight Demonstrator Lockheed baut leises Überschallflugzeug
  3. Elektroflieger Norwegen will elektrisch fliegen

Gesetzesentwurf: So will die Regierung den Abmahnmissbrauch eindämmen
Gesetzesentwurf
So will die Regierung den Abmahnmissbrauch eindämmen

Obwohl nach Inkrafttreten der DSGVO eine Abmahnwelle ausgeblieben ist, will Justizministerin Barley nun gesetzlich gegen missbräuchliche Abmahnungen vorgehen. Damit soll auch der "fliegende Gerichtsstand" im Wettbewerbsrecht abgeschafft werden.
Von Friedhelm Greis


      •  /