Intel Security untersuchte im jüngst veröffentlichten McAfee Labs Threats Report für Mai 2015 das erste Mal Angriffe auf Firmware von HDDs und SSDs. Auch wenn in den letzten Jahren verschiedenste Malware zur Manipulation von Firmware oder BIOS beobachtet wurde, erreicht "The Equation Group" eine neue Qualität. Es handelt sich bei Equation Group um eine Sammlung mehrerer Module, die je nach Bedarf installiert/nachgeladen werden und in der Lage sind Festplatten und Solid-State-Disks diverser Hersteller zu kompromittieren.
HDDs/SSDs deren Firmware befallen ist, sind in der Lage den Schadcode jedes Mal zu laden, wenn das betroffene System gebootet wird. Die Malware übersteht eine Neuinstallation des Betriebssystems ebenso wie eine Formatierung des Datenträgers und ist durch Sicherheitssoftware nicht mehr erkennbar, wenn sie sich einmal in die Firmware geschrieben hat.
Der Angriff auf den Ziel-Host erfolgt dabei in mehreren Schritten:
Wer steckt dahinter?
The Equation Group wird mit Flame, Stuxnet, Duqu und Gauss in Verbindung gebracht, bei denen von diversen Quellen eine Entwicklungsbeteiligung von USA bzw. NSA kolportiert wird.
Die Analysen von Intel Security zeigten Ähnlichkeiten im Prgrammierstil, bei der Nutzung bestimmter Strukturen und Methoden im Code sowie bei den Angriffsmustern.
Wer ist betroffen?
Aktuell sind 32bit und 64bit Versionen für verschiedene Windows-Systeme(inkl. Legacy-Support-Modul für Win 95/98) bekannt, es gibt jedoch auch Hinweise auf Versionen für andere Plattformen.
Die Experten glauben, dass das Modul zum Neuprgrammieren der Firmware selten verwendet und nur bei "high-value-targets" eingesetzt wird.
Quellen:
http://www.mcafee.com/us/resources/reports/rp-quarterly-threat-q1-2015.pdf
http://www.theregister.co.uk/2015/06/09/nsa_firmware_sighted_ctb_ransomware/
Ergänzung:
Q&A von Kaspersky von 02/2015:
https://securelist.com/files/2015/02/Equation_group_questions_and_answers.pdf
HDDs/SSDs deren Firmware befallen ist, sind in der Lage den Schadcode jedes Mal zu laden, wenn das betroffene System gebootet wird. Die Malware übersteht eine Neuinstallation des Betriebssystems ebenso wie eine Formatierung des Datenträgers und ist durch Sicherheitssoftware nicht mehr erkennbar, wenn sie sich einmal in die Firmware geschrieben hat.
Der Angriff auf den Ziel-Host erfolgt dabei in mehreren Schritten:
- Zunächst wird eine Watering-Hole-Attacke benutzt, bei der vom Ziel oft besuchte Websites infiziert werden. Besucht das Opfer eine dieser Seiten, wird ein Malware-Modul installiert, das verschiedene Späh- und Aufklärungs-Aufgaben übernimmt.
- Wurde hierdurch der gewünschte Zielrechner identifiziert wird in einer 2. Phase ein weiteres Modul nachgeladen, das die Installation der Firmware übernimmt, die auf den jeweiligen Hersteller und Modell der HDD/SSD zugeschnitten ist.
- Das zweite Modul bietet nun eine API zu einem versteckten Speicherbereich in dem die veränderte Firmware beliebigen Code schreiben und lesen kann.
Wer steckt dahinter?
The Equation Group wird mit Flame, Stuxnet, Duqu und Gauss in Verbindung gebracht, bei denen von diversen Quellen eine Entwicklungsbeteiligung von USA bzw. NSA kolportiert wird.
Die Analysen von Intel Security zeigten Ähnlichkeiten im Prgrammierstil, bei der Nutzung bestimmter Strukturen und Methoden im Code sowie bei den Angriffsmustern.
Wer ist betroffen?
Aktuell sind 32bit und 64bit Versionen für verschiedene Windows-Systeme(inkl. Legacy-Support-Modul für Win 95/98) bekannt, es gibt jedoch auch Hinweise auf Versionen für andere Plattformen.
Die Experten glauben, dass das Modul zum Neuprgrammieren der Firmware selten verwendet und nur bei "high-value-targets" eingesetzt wird.
Quellen:
http://www.mcafee.com/us/resources/reports/rp-quarterly-threat-q1-2015.pdf
http://www.theregister.co.uk/2015/06/09/nsa_firmware_sighted_ctb_ransomware/
Ergänzung:
Q&A von Kaspersky von 02/2015:
https://securelist.com/files/2015/02/Equation_group_questions_and_answers.pdf
Zuletzt bearbeitet: