NEUES AUS DER TECHNIK

Die Malware auf der Platine oder der Spion im UEFI
Was sind UEFI-Viren, wann greift Lojax und warum hilft es bei diesem Hacker-Angriff nicht, die Platte neu zu formatieren?

Das Prinzip von Lojax ist, dass die bösartige Software unmittelbar nach Einschalten des PCs ausgeführt wird. Sprich noch bevor Betriebssysteme, Antivirusprogramme oder Applikationen überhaupt geladen werden. Eine Entfernung der Malware von der Festplatte ist somit vollkommen nutzlos; der Eindringling kann definitiv nicht mit Antiviren-Software entfernt werden. Auch eine Formatierung der Festplatte und eine Neu-Installation des Betriebssystems helfen nicht mehr. Eine vollkommen neue Situation, denn üblicherweise sind diese Maßnahmen völlig ausreichend, um Viren nachhaltig zu entfernen. UEFI-Viren sind daher ein Alptraum für Administratoren und Anwender gleichermaßen. Antiviren-Programme können die Verbreitung von Lojax zwar erkennen, in dieser Hinsicht gibt es keinen Unterschied zu anderer Malware. Kommt es jedoch zu einer Infektion, sind Anti-Virus-Maßnahmen im Lojax-Fall machtlos.

Exkurs: Was genau versteht man unter UEFI?

Die IT-Sicherheitsfirma Eset hat mit Lojax den ersten Rootkit weltweit entdeckt, der für Angriffe auf die Firmware des Mainboards (UEFI/BIOS) verwendet wurde. Die Firmware ist ein “Mini-Betriebssystem”, das dem Computer unmittelbar nach dem Einschalten sagt, was er machen soll – zum Beispiel das Betriebssystem laden. Das heißt: Kein PC-Start kommt ohne sie aus, BIOS oder UEFI bilden die entscheidende Schnittstelle zwischen der Firmware, der Hardware und dem Betriebssystem (Windows). UEFI ist schneller und benutzerfreundlicher und bildet seit etwa 2011 die Grundlage jedes modernen Windows-PCs. Also ein wunder Punkt, der unbedingt geschützt sein muss. Bisher ist dies auch immer gelungen, UEFI-Malware oder -Rootkits wurden nur in Studien vorgestellt oder im Geheimen von staatlichen Behörden genutzt.

Wie schlagen Lojax und Co. zu und was kann man tun?

Lojax nistet sich über das UEFI/BIOS im Speicher der Hauptplatine ein, von wo das Programm die Kontrolle des gesamten Rechners übernehmen und zum Beispiel den Datenverkehr umleiten kann. Das Rootkit gelangt über die üblichen Wege auf das System. Schaden richtet es jedoch erst dann an, wenn es sich über eine falsch konfigurierte oder alte Serial Peripheral Interface (SPI) Flash-Firmware einnisten und die System-Firmware überschreiben kann. Das SPI wiederum ist eine Schnittstelle, die Hardware wie beispielsweise Flash-Speicher anspricht. Von da an können weitere schädliche Komponenten ab dem Systemstart nachgeladen werden. Deshalb überlebt die Malware eine Neuinstallation des Betriebssystems problemlos und auch ein Festplattentausch bleibt wirkungslos.

Ist es in einem Unternehmen also tatsächlich zu einer Lojax-Infektion oder einer Infektion mit anderen BIOS- bzw. UEFI-Viren gekommen, sind die Gegenmaßnahmen logischerweise auf die Hardware zu richten. Administratoren oder externe Dienstleister können das UEFI mit einer Software, die Flash-Speicher beschreiben kann, wiederherstellen. Dafür sind entsprechende Kenntnisse und gelegentlich auch Hardware-Eingriffe nötig, da verhindert werden muss, dass die Malware ausgeführt wird. Je nach Fall und Systemkonfiguration – beides kann natürlich nur ein IT-Experte beurteilen – kann es ausreichend sein, im UEFI-Setup eine Option “Secure Boot” zu aktivieren, um den Trojaner auszuschalten.

Oft ist es allerdings wesentlich effizienter, die infizierten Hardware-Elemente, also UEFI- bzw. BIOS-Speicherbausteine oder ganze Mainboards zu tauschen. Und da vor allem ältere Hardware, insbesondere ältere Notebooks, betroffen sind, kann es wirtschaftlich sogar sinnvoll sein, den gesamten Rechner zu ersetzen.

Wie groß ist das Risiko?

Tatsächlich ist eine massenhafte Verbreitung der Malware bisher ausgeblieben. Was vermutlich daran liegt, dass nur ein eher kleiner Teil der Hardware in deutschen Unternehmen überhaupt anfällig für die UEFI-/BIOS-Viren ist. Zudem muss zur Installation von Lojax durch einen Angreifer zuvor bereits eine Sicherheitslücke ausgenutzt worden sein, denn nur dann sind notwendige Privilegien gegeben. Das BSI rechnet daher nicht mit einem Massenphänomen. Dennoch stufen Sicherheitsexperten das Gefahrenpotenzial als hoch ein, was vor allem daran liegt, dass es für BIOS beziehungsweise dessen Nachfolgersystem UEFI generell kaum Updates gibt. Hinzu kommt, dass viele Anwender und Administratoren nur schlecht über UEFI-Updates informiert sind.

Man geht davon aus, dass ein Angriff auf Regierungsnetzwerke stattgefunden hat und die Viren möglicherweise in Behörden-PCs ihr Unwesen treiben. Primäre Ziele, so werden Vermutungen laut, könnten sogenannten High-Potential-Targets gelten. Dazu zählen Steuerungsrechner und Notebooks der Führungsriege von Großunternehmen, Rüstungsunternehmen oder Nichtregierungsorganisationen (NGOs). “Es ist davon auszugehen, dass dieser Schädling weiterhin zum Einsatz kommt”, sagte ein Eset-Sprecher t-online.de. “Er ist kein interessantes Thema für Fachkonferenzen mehr, sondern stellt eine reale Bedrohung dar”, ergänzt Jean-Ian Boutin, Eset-Security Researcher.

Wer steckt hinter den BIOS-Viren?

Laut dem Informationsdienst Heise wird Lojax offenbar von einer Hackergruppe, die sich auf Spionage bei westlichen Regierungen und deren Umfeld spezialisiert hat, verwendet. Unter anderem die Einbrüche im Bundestag und bei der US-amerikanischen Demokratischen Partei vor den letzten Wahlen werden der Gruppe zugerechnet. Da die Malware aber nun in viele Hände gelangt ist, werden in den nächsten Monaten weitere Varianten und neue Tätergruppen erwartet.

Unsere Webseite verwendet Cookies. Mehr erfahren

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um Ihnen das beste Surferlebnis zu ermöglichen. Wenn Sie diese Website ohne Änderung Ihrer Cookie-Einstellungen verwenden oder auf "Akzeptieren" klicken, erklären Sie sich damit einverstanden.

Schließen