![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Zum Wochenende noch zwei Sicherheitsinformationen, die mir gerade unter die Augen gekommen sind. Avast hat ein Botnet mit dem Namen Torii aufgesp\u00fcrt, und Sicherheitsforscher haben mit LoJax wohl das erste UEFI-Root-Kit aufgesp\u00fcrt, welches von der Gruppe APT28 verwendet wird und wohl auf einem Bundestages-Rechner nach dem Befall durch Schadsoftware aufgesp\u00fcrt wurde. <\/p>\n
<\/p>\n
2015 musste ja das interne Netzwerk des Bundestages wegen Befall durch Schadsoftware (Trojaner) abgeschaltet werden. Der Angriff wird staatlichen Hackern der Gruppe APT28 zugeschrieben. Die Verantwortlichen hatten wohl erhebliche Probleme, den Befall durch Schadsoftware in den Griff zu bekommen. Zum Schluss hat man wohl komplette Rechner getauscht. Ich hatte mit den zug\u00e4nglichen Informationen hier im Blog berichtet. Dann wurde es ruhig um den Fall \u2013 aber jetzt kocht wieder was hoch. <\/p>\n
Sicherheitsforscher von ESET, sind auf eine Schadsoftware mit dem Namen LoJax gesto\u00dfen, die als UEFI-Root-Kit fungiert. Die Schadsoftware ist in diesem ESET-Dokument<\/a> beschrieben. Auf dieses Root-Kit stie\u00df man bei der Verfolgung der Vorg\u00e4nge einer Cyber-Spionagegruppe (bekannt als Sednit, Fancy Bear, APT28, Strontium und Sofacy). Irgendwann gab es den ersten Beweis daf\u00fcr, dass ein Rootkit f\u00fcr das Unified Extensible Firmware Interface (UEFI) in freier Wildbahn verwendet wird.<\/p>\n Laut ESET haben die Hacker das Rootkit in das SPI-Flash-Modul eines Zielrechners eingebettet, was nicht nur gegen eine Neuinstallation des Betriebssystems, sondern auch gegen einen Festplattentausch persistent ist. Die Forscher benannten das Rootkit LoJax, nach den b\u00f6sartigen Beispielen der LoJack Anti-Diebstahl-Software, die Anfang des Jahres entdeckt wurden. Der Missbrauch der legitimen Anti-Diebstahl-Software war ebenfalls die Arbeit von ATP28. Bei Bleeping Computer wird das Ganze in diesem englischsprachigen Beitrag<\/a> n\u00e4her beschrieben. Ich hatte das schon gestern gelesen, aber da war das alles noch 'weit weg'. <\/p>\n Die Redaktion von heise.de hat dann in diesem deutschsprachigen Artikel<\/a> den Fokus neu zurecht ger\u00fcckt. Wenn es stimmt, was heise.de vermutet, wurde der UEFI-Root-Kit auch auf einem infizierten System des Bundestages eingesetzt. Details zu LoJax lassen sich in den verlinkten Artikeln nachlesen. Der springende Punkt an der ganzen Geschichte ist aber, dass es ein bezeichnendes Licht auf das von Microsoft und der US-Industrie forcierte UEFI wirft. <\/p>\n Von der NSA ist bekannt, die deren Hacker genau diese Angriffsfl\u00e4che (in Verbindung mit TPM) nutzen, um Systeme per Internet \u00fcber vermeintliche Updates zu infizieren. Diese Infektionen \u00fcberstehen dann auch den Austausch der Festplatte oder die Neuinstallation des Betriebssystems. Und in nachfolgender Linkliste hatte ich sowohl auf ein Proof-of-Concept zur UEFI-Infektion als auch \u00fcber Probleme bei UEFI-Updates durch Microsoft hingewiesen. Es gab ja schon vor Jahren Warnungen, dass dies T\u00fcr und Tor f\u00fcr Spionage \u00f6ffne, ohne dass dies geh\u00f6rt wurde. <\/p>\n Jetzt wird offensichtlich, dass die Systeme, die als 'neuester Schrei' rausgedr\u00fcckt wurden, massiv durch 'Kakerlaken' befallen sind \u2013 und diese Biester wird man kaum mehr los. Eine Sicherheitsl\u00fccke, ein Spear-Phishing-Angriff, und schon wird das System mit dem UEFI-Sch\u00e4dling best\u00fcckt. <\/p>\n Sicherheitsforscher von AVAST habe das Botnet Torii entdeckt und in diesem Blog-Beitrag<\/a> beschrieben. Es handelt sich um eine ausgebufftere Variante des Mirai-Botnetzes, welches IoT-Ger\u00e4te bef\u00e4llt. Die Urheber haben ausf\u00fchrbaren Programmcode f\u00fcr unterschiedliche Ger\u00e4te und Architekturen (MIPS, ARM, x86, x64, PowerPC, und SuperH) erstellt. <\/p>\n My honeypot just caught something substantially new. Spreads via Telnet but not your run-of-the-mill Mirai variant or Monero miner…<\/p>\n First stage is just a few commands that download a rather sophisticated shell script, disguised as a CSS file. (URL is still live.) pic.twitter.com\/r5L0I8PC0h<\/a><\/p>\n \u2014 Vess (@VessOnSecurity) 19. September 2018<\/a><\/p><\/blockquote>\nMirai-Variante Torii, neues Botnet<\/h2>\n
\n