Zum Wochenende noch zwei Sicherheitsinformationen, die mir gerade unter die Augen gekommen sind. Avast hat ein Botnet mit dem Namen Torii aufgespürt, und Sicherheitsforscher haben mit LoJax wohl das erste UEFI-Root-Kit aufgespürt, welches von der Gruppe APT28 verwendet wird und wohl auf einem Bundestages-Rechner nach dem Befall durch Schadsoftware aufgespürt wurde.
Anzeige
APT28, das LoJax UEFI-Root-Kit und der Bundestag
2015 musste ja das interne Netzwerk des Bundestages wegen Befall durch Schadsoftware (Trojaner) abgeschaltet werden. Der Angriff wird staatlichen Hackern der Gruppe APT28 zugeschrieben. Die Verantwortlichen hatten wohl erhebliche Probleme, den Befall durch Schadsoftware in den Griff zu bekommen. Zum Schluss hat man wohl komplette Rechner getauscht. Ich hatte mit den zugänglichen Informationen hier im Blog berichtet. Dann wurde es ruhig um den Fall – aber jetzt kocht wieder was hoch.
Sicherheitsforscher von ESET, sind auf eine Schadsoftware mit dem Namen LoJax gestoßen, die als UEFI-Root-Kit fungiert. Die Schadsoftware ist in diesem ESET-Dokument beschrieben. Auf dieses Root-Kit stieß man bei der Verfolgung der Vorgänge einer Cyber-Spionagegruppe (bekannt als Sednit, Fancy Bear, APT28, Strontium und Sofacy). Irgendwann gab es den ersten Beweis dafür, dass ein Rootkit für das Unified Extensible Firmware Interface (UEFI) in freier Wildbahn verwendet wird.
Laut ESET haben die Hacker das Rootkit in das SPI-Flash-Modul eines Zielrechners eingebettet, was nicht nur gegen eine Neuinstallation des Betriebssystems, sondern auch gegen einen Festplattentausch persistent ist. Die Forscher benannten das Rootkit LoJax, nach den bösartigen Beispielen der LoJack Anti-Diebstahl-Software, die Anfang des Jahres entdeckt wurden. Der Missbrauch der legitimen Anti-Diebstahl-Software war ebenfalls die Arbeit von ATP28. Bei Bleeping Computer wird das Ganze in diesem englischsprachigen Beitrag näher beschrieben. Ich hatte das schon gestern gelesen, aber da war das alles noch 'weit weg'.
Die Redaktion von heise.de hat dann in diesem deutschsprachigen Artikel den Fokus neu zurecht gerückt. Wenn es stimmt, was heise.de vermutet, wurde der UEFI-Root-Kit auch auf einem infizierten System des Bundestages eingesetzt. Details zu LoJax lassen sich in den verlinkten Artikeln nachlesen. Der springende Punkt an der ganzen Geschichte ist aber, dass es ein bezeichnendes Licht auf das von Microsoft und der US-Industrie forcierte UEFI wirft.
Anzeige
Von der NSA ist bekannt, die deren Hacker genau diese Angriffsfläche (in Verbindung mit TPM) nutzen, um Systeme per Internet über vermeintliche Updates zu infizieren. Diese Infektionen überstehen dann auch den Austausch der Festplatte oder die Neuinstallation des Betriebssystems. Und in nachfolgender Linkliste hatte ich sowohl auf ein Proof-of-Concept zur UEFI-Infektion als auch über Probleme bei UEFI-Updates durch Microsoft hingewiesen. Es gab ja schon vor Jahren Warnungen, dass dies Tür und Tor für Spionage öffne, ohne dass dies gehört wurde.
Jetzt wird offensichtlich, dass die Systeme, die als 'neuester Schrei' rausgedrückt wurden, massiv durch 'Kakerlaken' befallen sind – und diese Biester wird man kaum mehr los. Eine Sicherheitslücke, ein Spear-Phishing-Angriff, und schon wird das System mit dem UEFI-Schädling bestückt.
Mirai-Variante Torii, neues Botnet
Sicherheitsforscher von AVAST habe das Botnet Torii entdeckt und in diesem Blog-Beitrag beschrieben. Es handelt sich um eine ausgebufftere Variante des Mirai-Botnetzes, welches IoT-Geräte befällt. Die Urheber haben ausführbaren Programmcode für unterschiedliche Geräte und Architekturen (MIPS, ARM, x86, x64, PowerPC, und SuperH) erstellt.
My honeypot just caught something substantially new. Spreads via Telnet but not your run-of-the-mill Mirai variant or Monero miner…
First stage is just a few commands that download a rather sophisticated shell script, disguised as a CSS file. (URL is still live.) pic.twitter.com/r5L0I8PC0h
— Vess (@VessOnSecurity) 19. September 2018
Die Angriffe erfolgen über Telnet unter Verwendung des Tor-Netzwerks (siehe Tweet). IoT-Systeme mit schwachen Passwörtern für den Telnet-Zugriff sind dann gefährdet. Das Merkwürdige an der ganzen Geschichte: Bisher ist der Zweck des neuen Torii-Botnet noch unbekannt, da es (noch) keinen bestimmten Zweck verfolgt. DDoS-Angriffe wurden bisher keine gefahren, auch Crypto-Miner werden noch nicht eingesetzt. Auch Bleeping Computer hat in diesem Artikel sowie ZDNET haben keine weiterführenden Informationen finden können. Dort werden lediglich die diversen Angriffsmethoden, die auch Avast beschreibt, thematisiert.
Ähnliche Artikel:
BSI warnt doch nicht vor Windows 8
Hackerangriff auf Bundestag nicht zu stoppen–mustert man endlich alte Rechner aus?Bundestags-Hack: War was? Inkompetenz und Schlamperei …
UEFI/BIOS-Infektion per Ransomware – Proof of concept
Warnung vor "Botnetz" Windows 10 …
Backdoor 'Windows Platform Binary Table' (WPBT)
Microsofts Update Rollup ändert Secure Boot
Anzeige
Zu LoJax hat HP ein Security-Bulletin veröffentlicht (https://support.hp.com/de-de/document/c06163738), momentan steht alles noch "unter Entwicklung"