{"id":242772,"date":"2021-01-22T03:32:01","date_gmt":"2021-01-22T02:32:01","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=242772"},"modified":"2023-09-02T10:23:55","modified_gmt":"2023-09-02T08:23:55","slug":"britische-windows-10-schul-notebooks-mit-gamarue-malware-ausgeliefert","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/01\/22\/britische-windows-10-schul-notebooks-mit-gamarue-malware-ausgeliefert\/","title":{"rendered":"Britische Windows 10 Schul-Notebooks mit Gamarue-Malware ausgeliefert"},"content":{"rendered":"

[English<\/a>]Das britische Bildungsministerium hat mehrere Tausend Windows-Notbooks an Sch\u00fcler ausgeliefert, die (teilweise) ab Werk mit einer Malware verseucht sein k\u00f6nnten. Die Malware 'telefonierte' auf betroffenen Ger\u00e4ten flei\u00dfig mit russischen Servern.<\/p>\n

<\/p>\n

\"\"In Gro\u00dfbritannien gibt es das Get help with technology<\/a> Programm, bei dem britische Sch\u00fcler Notebooks und Tablet PCs erhalten k\u00f6nnen, um auch w\u00e4hrend der COVID-19-Pandemie lernen und am Home-Schooling teilnehmen zu k\u00f6nnen. The Register berichtet hier<\/a>, dass das britische Bildungsministerium mit vorinstallierter Malware versehene Notebooks an Sch\u00fcler auslieferte, um ihnen das Lernen von Zuhause w\u00e4hrend des Lockdowns zu erleichtern.<\/p>\n

Malware Gamarue an Bord<\/h2>\n

Die im Rahmen des Regierungsprogramms \"Get Help With Technology\" (GHWT) an Schulen gelieferten Windows 10 Notebooks enthielten die vorinstallierte Malware Gamarue. Dies ist laut The Register ein Remote-Access-Wurm aus den 2010er Jahren, der aktuell nur noch wenig verbreitet ist.<\/p>\n

Das BSI schreibt, dass es sich um einen Malware-Downloader handle, der weitere Schadsoftware nachladen und diese auf dem infizierten System ausf\u00fchren kann. Im Falle von Andromeda\/Gamarue k\u00f6nnen dies z.B. die Banking-Trojaner Citadel, Rovnix oder UrlZone\/Bebloh sein. Des Weiteren ist Andromeda\/Gamarue mit Hilfe von Plug-Ins um zus\u00e4tzliche Funktionen erweiterbar. Es existiert unter anderem ein Plug-In, welches sowohl Zugangsdaten von E-Mail-Konten als auch von FTP-Programmen abf\u00e4ngt und an die Betreiber der Schadsoftware weiterleitet. Wie The Register in Erfahrung bringen konnte, ist eine Charge von 23.000 Computern potentiell betroffen.<\/p>\n

Diese Ger\u00e4te wurden in den letzten drei bis vier Wochen ausgeliefert, wobei unklar ist, wie viele davon infiziert sind. Die BBC schreibt<\/a>, dass nur wenige Ger\u00e4te infiziert seien. Ein Verantwortlicher sagte: \"Wir sind uns eines Problems mit einer kleinen Anzahl von Ger\u00e4ten bewusst. Und wir untersuchen es als dringende Priorit\u00e4t, um die Angelegenheit so schnell wie m\u00f6glich zu l\u00f6sen.\"<\/p>\n

Konkret handelt es sich bei den betroffenen Ger\u00e4ten um das GeoBook 1E, hergestellt von der in Shenzhen ans\u00e4ssigen Tactus Group. Aktuell geht man davon aus, dass die Malware beim Hersteller auf die Ger\u00e4te vorinstalliert wurde. Der Hersteller war f\u00fcr eine Stellungnahme nicht zu erreichen.<\/p>\n

Eine Quelle aus dem Umfeld einer Schule teilte The Register mit, dass die fraglichen Notebooks wohl Ende 2019 hergestellt wurden und im letzten Jahr mit der vom britischen Bildungsministerium (DfE) spezifizierten Software versehen wurden. The Register konnte E-Mails einsehen, die an und vom Department for Education (DfE), das das GHWT-Programm betreibt, geschickt wurden. Dort wurden die Bedenken bez\u00fcglich der Laptops im Hinblick auf die Verseuchung mit Malware thematisiert.<\/p>\n

In Online-Foren berichteten Mitarbeiter von Schulen in Bradford dar\u00fcber, dass die Stadtverwaltung sie am Mittwoch kontaktiert hat, um sie vor dem Problem zu warnen. In einer E-Mail hei\u00dfe es: \"Beim Auspacken und Vorbereiten wurde festgestellt, dass eine Reihe der Laptops mit einem sich selbst verbreitenden Netzwerkwurm infiziert sind … der aussieht, als ob er russische Server kontaktiert, wenn er aktiv ist.\"<\/p>\n

In mindestens eine Schule wurden die Notebooks vorsorglich formatiert und dann mit einem sauberen Build neu installiert, bevor die Ger\u00e4te an die Sch\u00fcler ausgegeben wurden. Personen, die mit dem GHWT-Rollout vertraut sind, gaben gegen\u00fcber The Register an, dass jedoch nicht alle Maschinen in der Charge mit der Malware verseucht waren. Aktuell ist unklar, wie viele Ger\u00e4te aus der Charge betroffen sind und wo die Infektion passierte.<\/p>\n

Schwachbr\u00fcstiges GeoBook 1E f\u00fcr Sch\u00fcler<\/h2>\n

Konkret handelt es sich um das GeoBook 1E, ein schwachbr\u00fcstiges 'Low-End'-Ger\u00e4t mit Windows 10 Pro Education, hergestellt von der in Shenzhen ans\u00e4ssigen Tactus Group. Das 11,6-Zoll-Ger\u00e4t (mit 1920×1080 IPS Display) wird vom Hersteller als ultra-portables Notebook zum Lernen f\u00fcr Nutzer jeden Alters angepriesen.<\/p>\n

\"GeoBook<\/p>\n

Ausgestattet ist es mit einem Intel Quad- oder Dual-Core-Prozessor (z.B. Intel Celeron N3350), sowie inzwischen 4 GB RAM-Speicher und 32 oder 64 GB eMMC-Speicher. Einige USB 3.0\/2.0-Anschl\u00fcsse, SD-Kartenleser, HDMI-Ausgabe und eine einfache Webcam geh\u00f6ren dazu. Auf den Ger\u00e4ten wird dann eine spezielle Bildungssoftware des britischen Bildungsministeriums vorinstalliert. In diesem Forenbeitrag<\/a> geht die Diskussion \u00fcber die Leistungsf\u00e4higkeit des Ger\u00e4t und den Preis, den die Briten f\u00fcr die Lieferung gezahlt haben k\u00f6nnten.<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Das britische Bildungsministerium hat mehrere Tausend Windows-Notbooks an Sch\u00fcler ausgeliefert, die (teilweise) ab Werk mit einer Malware verseucht sein k\u00f6nnten. Die Malware 'telefonierte' auf betroffenen Ger\u00e4ten flei\u00dfig mit russischen Servern.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,3694],"tags":[4328,4378],"class_list":["post-242772","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows-10","tag-sicherheit","tag-windows-10"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/242772","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=242772"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/242772\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=242772"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=242772"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=242772"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}