211service.com
Nicht nur die NSA weiß, wie man unlöschbare Malware herstellt
Am Wochenende beschrieb das russische Sicherheitsunternehmen Kaspersky einen Suite extrem ausgeklügelter Hacking-Tools die seit 2008 verwendet werden, um Regierungs-, Militär- und Unternehmenscomputer in 30 Ländern auf der ganzen Welt zu infiltrieren. Reuters berichtet, dass es so war die Arbeit der U.S. National Security Agency .
Kasperskys auffälligste Entdeckung war, dass das Toolkit der sogenannten Equation Group Malware in die in Festplatten eingebettete Software einschleusen konnte. Diese Firmware ist nicht nur für herkömmliche Sicherheitssoftware unsichtbar, sondern es kann darin versteckter bösartiger Code auftauchen, der einen Computer übernimmt, selbst nachdem seine Festplatte sorgfältig gelöscht wurde. Costin Raiu, ein Forscher bei Kaspersky, erzählte die New York Times dass die Technik Ermittler wie ihn praktisch blind machte.
Dieser beeindruckende Trick setzt eine neue Messlatte für die Raffinesse von Malware, die in freier Wildbahn gefangen wurde. Und es hat zu Spekulationen geführt, dass die NSA Unterstützung von Festplattenherstellern hatte, indem sie beispielsweise Zugang zu Details über die Funktionsweise ihrer Firmware erhielt.
Aber trotz Vorschlägen wäre es so gut wie unmöglich Selbst die NSA, die Festplatten-Firmware ohne solche Hilfe zurückzuentwickeln, scheint für sie – und auch für viele andere – durchaus möglich zu sein. In den letzten Jahren haben Hacker und Forscher mit weitaus kleineren Budgets als die der NSA die Firmware von Festplatten und anderen Geräten rückentwickelt und ihre eigene unsichtbare Malware demonstriert.
Das lässt vermuten, dass mehrere nationale Geheimdienste – und vielleicht sogar Gruppen ohne staatliche Unterstützung – diese Technik verwenden könnten. Wenn überhaupt, halten nur wenige Sicherheitsforscher Ausschau nach solchen Angriffen, da sie im Wesentlichen unsichtbar sind.
Jeder, der anfangen möchte, Festplatten-Firmware zu hacken, ist gut beraten, damit zu beginnen Seite zum Thema vom erfolgreichen Hacker Jereom Domburg. 2013 hielt er mehrere Vorträge über seine Forschung und zeigte, wie sie ihn dazu befähigte einen Server aus der Ferne übernehmen mit einer Festplatte von Western Digital, einem führenden Hersteller, dessen Laufwerke auch von der Equation Group ins Visier genommen wurden.
Auch im Jahr 2013 gingen akademische Forscher unabhängig voneinander noch weiter und weiter mehrere Proof-of-Concept-Angriffe entwickelt gegen eine Festplatte eines anderen Herstellers. Sie zeigten, wie die Firmware einer Festplatte aus der Ferne infiziert werden kann, und entwickelten ein System zur Kommunikation über das Internet mit der nicht löschbaren Malware, um Befehle zu senden und Daten wie Verschlüsselungsschlüssel zu kopieren. Diese Zeile aus der Zusammenfassung der wissenschaftlichen Arbeit hat nach dem, was wir am Wochenende gelernt haben, neue Plausibilität gewonnen:
Die Schwierigkeit, einen solchen Angriff durchzuführen, ist nicht auf den Bereich der staatlichen Cyberkriegsführung beschränkt; Vielmehr ist es für Kriminelle mit moderaten finanziellen Mitteln, Botnet-Hirten und akademische Forscher gut erreichbar.
Auf der Black-Hat-Sicherheitskonferenz im vergangenen Sommer haben zwei Forscher beschrieben, wie sie es hatten Reverse Engineering der Firmware von USB-Sticks Code darin zu verstecken, der unbemerkt einen Computer übernehmen kann.
Ein Jahr zuvor zeigte ein anderer Forscher auf derselben Veranstaltung Proof-of-Concept-Malware, die sich im BIOS-Chip eines Computers verstecken könnte, der in Aktion tritt, um den Betriebsschaft bereit zu machen, wenn Sie den Netzschalter drücken. Diese Malware könnte sich sogar in der Firmware anderer Komponenten eines Computers sichern, wie z. B. der Netzwerkkarte, um sich selbst auf dem BIOS-Chip wiederherzustellen, wenn seine Firmware aus irgendeinem Grund bereinigt wurde (siehe Eine Computerinfektion, die niemals geheilt werden kann ).
Keiner der Angriffe dieser Forscher war einfach zu entwickeln oder sogar in realen Angriffen zu beweisen. Und die Fähigkeiten, die erforderlich sind, um solche Dinge zu erstellen, sind nicht so weit verbreitet wie die, die erforderlich sind, um beispielsweise einen Computer mithilfe eines E-Mail-Anhangs zu hacken. Aber sie existieren sicherlich an Orten außerhalb der US-Regierung.
Der Bericht von Kaspersky hat wahrscheinlich alle möglichen Leute dazu inspiriert, darüber nachzudenken, die Firmware von Festplatten und anderen Computerkomponenten zu hacken. Hoffentlich werden einige von ihnen daran arbeiten, Korrekturen und Abwehrmaßnahmen zu entwickeln.