Live-Hack: UEFI-Trojaner lässt sich nicht löschen
Sicherheitsanalysten nden einen ausgeklügelten Schädling, den Hacker gezielt im UEFI-BIOS von zwei Laptops platzierten.
Selbst der Wechsel der Festplatte schützt nicht
D as nachträgliche Flashen von Firmware hat viele Vorteile: Damit lassen sich Fehler korrigieren oder dem Gerät neue Funktionen zufügen. Jedoch ist die Firmware dann variabel und nicht mehr ganz so fest verdrahtet wie früher; und auch Trojaner lassen sich hinein ashen. Analysten der Sicherheits rma Kaspersky haben nun genau das – kompromittierte UEFI-Firmware – auf zwei Laptops gefunden. Ein seltener, aber extrem trickreicher Fall: „Nach unserem besten Wissen ist das der zweite bekanntgewordene Fall, in dem ein Angreifer auf freier Wildbahn eine bösartige UEFI-Firmware verwendet hat“, schreiben die Analysten ( https://bit.ly/37caXbQ).
Wie die Hacker die Original-Firmware durch die korrupte ersetzt haben, war für Kaspersky nicht mehr nachvollziehbar. Es könnte sich um ein Flashen via USB-Stick gehandelt haben, bei dem die Hacker physikalischen Zugriff auf den Rechner gehabt haben müssen ( was laut der Analysten wahrscheinlich ist). Infrage kommt auch ein gehackter Update-Manager, der dem Hersteller prinzipiell die Möglichkeit gibt, ein UEFI upzudaten.
Ist die korrupte Firmware einmal platziert, tritt sie einerseits vor Start des Betriebssystems ins Leben und lässt sich andererseits durch dieses nicht mehr löschen.
Selbst ein Austausch der Systemplatte nutzt nichts
Konkret handelt es sich beim sogenannten Mosaic Regressor um ein individualisiertes UEFI-BIOS aus dem Hacker-Baukasten Vector-EDK (der sich frei zugänglich bei Github ndet). Dieses korrumpierte UEFI lädt beim Systemstart zwei Hardware-Treiber (DXE-Treiber); und zwar eine Vorstufe des Malware-Droppers und einen NTFS-Treiber. Der erste sorgt dafür, dass der eigentliche Malware-Dropper etwas in den Autostart von Windows schreiben kann, während dieses noch bootet.
Und zwar fügt der Dropper die Datei IntelUpdate.exe in den Autostart-Ordner ProgramData\Microsoft\Windows\Start Menu\Programs\Startup im Anwenderverzeichnis ein. So sorgt der Dropper dafür, dass der Trojaner immer vorhanden ist und immer wieder ausgeführt wird. Auch wenn das Opfer den Autostart reinigt, ist er beim nächsten Start wieder da. Selbst eine Neuinstallation von Windows oder der Tausch der Festplatte nutzen nichts. Der Schädling kann nun Kontakt zu seinen Kontroll-Servern aufnehmen (via http oder auch per Mail) und von dort weitere Befehle und Komponenten (sogenannte Payload) entgegennehmen.
Die Hintermänner des Angriffs sind bislang nicht bekannt. Alle Opfer (es gab noch ein paar mehr, die mit dem Trojaner in ziert waren, aber nicht mit der hier beschriebenen UEFI-Komponente) stammten aus Diplomaten- oder NGO-Kreisen und hatten Kontakt mit Nordkorea. Im Quellcode fanden die Analysten zudem Reste chinesischer oder koreanischer Code-Seiten ( CP936 and CP949).
Kleine Zielgruppe
Das bösartige Flashen eines UEFI ist nur für Experten in gezielten Angriffen möglich. Es handelt sich also nicht um einen Trojaner, der breit über das Internet gestreut werden kann, denn er erfordert Kenntnis des konkreten Rechners. Gefährdet sind also Personen, die wertvolle Daten transportieren, etwa Blaupausen, Unternehmenszahlen oder Staatsdokumente. Träger solcher Geheimnisse haben jedoch meist verschlüsselte Systempartitionen (Bitlocker), die einen Zugriff des Trojaners auf die Systemdateien verhindern. Bitlocker ist also ein erster, wichtiger Schutz. Linux ist gegen Mosaic Regressor ebenso resistent wie Rechner mit Boot-Guard-Technologie von Intel. Eine Schutzsoftware, die auch das UEFI scannt, kann den Schädling nden, aber nicht beseitigen. Nur das komplette Flashen des UEFI mit der Original-Firmware des Herstellers entfernt ihn.