{"id":161371,"date":"2015-02-17T05:47:21","date_gmt":"2015-02-17T04:47:21","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/?p=161371"},"modified":"2024-09-24T15:14:10","modified_gmt":"2024-09-24T13:14:10","slug":"kaspersky-nsa-versteckt-spionagesoftware-in-hd-firmware","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2015\/02\/17\/kaspersky-nsa-versteckt-spionagesoftware-in-hd-firmware\/","title":{"rendered":"Kaspersky: NSA “Equation Group” versteckt Spionagesoftware in HD-Firmware"},"content":{"rendered":"

\"\"Absoluter GAU: Eine Gruppe (\"Equation Group\"), mutma\u00dflich im Umfeld der NSA vermutet, hat seit 14 Jahren beliebige Systeme \u00fcber fortgeschrittene Hackertechniken mit Spionagesoftware infiltriert. Den Sicherheitsforschern in den Kaspersky-Labors ist es scheinbar gelungen, eine der NSA zugeordnete Spionagesoftware aufzudecken, die sich in der Firmware von Festplatten versteckt. Kaspersky spricht vom \"Todesstern in der Malware Galaxy\", da bisher nichts vergleichbares gefunden wurde.<\/p>\n

<\/p>\n

\"\"Die Meldung ist gestern in US-Medien hier bei Reuters<\/a> oder hier bei ArsTechnica<\/a> erschienen und wurde hier im Blog<\/a> von den Sicherheitsforschern dokumentiert.\u00a0 Eine als \"Equation Group\" bezeichnete Hackergruppe, die im Umfeld der NSA verortet ist, hat wohl 14 Jahre lang PCs mit Spionagesoftware infiziert, ohne dass dies auffiel. Hier das Organigramm, wo Kaspersky die Gruppe einordnet.<\/p>\n

(Quelle: Kaspersky<\/a>)<\/p>\n

Der Gruppe war es offenbar gelungen, die Spionageprogramme tief in der Firmware von Festplatten diverser Hersteller (Western Digital, Seagate, Toshiba etc.) zu verstecken. So war die Gruppe in der Lage, Systeme immer wieder zu infizieren, ohne dass dies von den Nutzern verhindert werden konnte. Infiziert waren Rechner in 30 L\u00e4ndern in Iran, Russland, Pakistan, Afghanistan, China, Mali, Syrien, Jemen und Algerien. Ziele waren laut Kaspersky<\/a> Regierungen, Milit\u00e4rische Institute, Telekommunikationsunternehmen, Banken, Energieversorger, Nuklear-Forschungslabors, Medien, Entwickler von Verschl\u00fcsselungssoftware und Islamisten.<\/p>\n

\"\"(Quelle: Kaspersky<\/a>)<\/p>\n

Die obige Karte zeigt die weltweiten Infektionen. Aufgedeckt und dokumentiert haben dies Sicherheitsforscher aus den in Moskau angesiedelten Kaspersky-Labors.\u00a0 Der Bericht ist hier einsehbar<\/a> und enth\u00fcllt, was laut den Sicherheitsforschern bisher eine einzigartige Angriffsmethode ist, die weit \u00fcber das hinaus geht, was an Rafinesse bei Stuxnet bekannt war. Gem\u00e4\u00df den Kaspersky-Forschern wurden f\u00fcr die Angriffe Werkzeuge benutzt, die extrem schwierig und teuer zu entwickeln\u00a0 waren.<\/p>\n

Mit diesen wurden Trojaner, von Kaspersky mit Namen wie EquationLaser, EquationDrug, DoubleFantasy, TripleFantasy, Fanny und GrayFish belegt, in der Firmware von Festplatten abgelegt. Die Hackergruppe benutzt intern wohl Codenamen wie SKYHOOKCHOW, UR, KS, SF, STEALTHFIGHTER, DRINKPARSLEY, STRAITACID, LUTEUSOBSTOS, STRAITSHOOTER, DESERTWINTER und GROK f\u00fcr die Spionagetools. Deren Entwicklung begann wohl bereits 2001, wie folgendes Schaubild von Kaspersky nahelegt.<\/p>\n

(Quelle: Kaspersky<\/a>)<\/p>\n

Die Schadsoftware nutzte dabei Zero-Day Expoits, um sich in den Systemen einzunisten. Namen von Sch\u00e4dlingen wie Fanny Wurm, Stux Net etc. fallen in diesem Zusammenhang, wobei Angriffe bereits 2008\/2009 stattfanden. 2009 erhielten wichtige Forscher z.B. ein CD-Abbild per E-Mail, welches vorgeblich Material einer in Houston abgehaltenen Forschungskonferenz war. Im Beipack eine Sammlung dieser Trojaner, mit denen dann die Systeme infiziert wurden.<\/p>\n

Laut diesem Arstechnica<\/a>– und diesem Kaspersky-Bericht<\/a> kamen dabei neuartige Angriffsmethoden zum Einsatz, die selbst das L\u00f6schen eines Datentr\u00e4gers mit vom Milit\u00e4r genehmigten L\u00f6schprogrammen \u00fcberstanden, weil sich die Sch\u00e4dlinge nicht auf der Festplatte sondern in deren Firmware einnisteten. Die auf der letzten BlackHat-Konferenz enth\u00fcllten BadUSB-Angriffsmethoden waren bei den Geheimdiensten also \u00fcber viele Jahre im praktischen Einsatz. Hier ein \u00dcberblick \u00fcber die verwendeten Techniken:<\/p>\n