Intel Security untersuchte im jüngst veröffentlichten
HDDs/SSDs deren Firmware befallen ist, sind in der Lage den Schadcode jedes Mal zu laden, wenn das betroffene System gebootet wird. Die Malware übersteht eine Neuinstallation des Betriebssystems ebenso wie eine Formatierung des Datenträgers und ist durch Sicherheitssoftware nicht mehr erkennbar, wenn sie sich einmal in die Firmware geschrieben hat.
Der Angriff auf den Ziel-Host erfolgt dabei in mehreren Schritten:
Wer steckt dahinter?
The Equation Group wird mit
Die Analysen von Intel Security zeigten Ähnlichkeiten im Prgrammierstil, bei der Nutzung bestimmter Strukturen und Methoden im Code sowie bei den Angriffsmustern.
Wer ist betroffen?
Aktuell sind 32bit und 64bit Versionen für verschiedene Windows-Systeme(inkl. Legacy-Support-Modul für Win 95/98) bekannt, es gibt jedoch auch Hinweise auf Versionen für andere Plattformen.
Die Experten glauben, dass das Modul zum Neuprgrammieren der Firmware selten verwendet und nur bei "high-value-targets" eingesetzt wird.
Quellen:
Ergänzung:
Q&A von Kaspersky von 02/2015:
You do not have permission to view link please Anmelden or Registrieren
das erste Mal Angriffe auf Firmware von HDDs und SSDs. Auch wenn in den letzten Jahren verschiedenste Malware zur Manipulation von Firmware oder BIOS beobachtet wurde, erreicht "The Equation Group" eine neue Qualität. Es handelt sich bei
You do not have permission to view link please Anmelden or Registrieren
um eine Sammlung mehrerer Module, die je nach Bedarf installiert/nachgeladen werden und in der Lage sind Festplatten und Solid-State-Disks diverser Hersteller zu kompromittieren.HDDs/SSDs deren Firmware befallen ist, sind in der Lage den Schadcode jedes Mal zu laden, wenn das betroffene System gebootet wird. Die Malware übersteht eine Neuinstallation des Betriebssystems ebenso wie eine Formatierung des Datenträgers und ist durch Sicherheitssoftware nicht mehr erkennbar, wenn sie sich einmal in die Firmware geschrieben hat.
Der Angriff auf den Ziel-Host erfolgt dabei in mehreren Schritten:
- Zunächst wird eine
You do not have permission to view link please Anmelden or Registrieren-Attacke benutzt, bei der vom Ziel oft besuchte Websites infiziert werden. Besucht das Opfer eine dieser Seiten, wird ein Malware-Modul installiert, das verschiedene Späh- und Aufklärungs-Aufgaben übernimmt.
- Wurde hierdurch der gewünschte Zielrechner identifiziert wird in einer 2. Phase ein weiteres Modul nachgeladen, das die Installation der Firmware übernimmt, die auf den jeweiligen Hersteller und Modell der HDD/SSD zugeschnitten ist.
- Das zweite Modul bietet nun eine API zu einem versteckten Speicherbereich in dem die veränderte Firmware beliebigen Code schreiben und lesen kann.
Wer steckt dahinter?
The Equation Group wird mit
You do not have permission to view link please Anmelden or Registrieren
,
You do not have permission to view link please Anmelden or Registrieren
,
You do not have permission to view link please Anmelden or Registrieren
und
You do not have permission to view link please Anmelden or Registrieren
in Verbindung gebracht, bei denen von diversen Quellen eine Entwicklungsbeteiligung von USA bzw. NSA kolportiert wird.Die Analysen von Intel Security zeigten Ähnlichkeiten im Prgrammierstil, bei der Nutzung bestimmter Strukturen und Methoden im Code sowie bei den Angriffsmustern.
Wer ist betroffen?
Aktuell sind 32bit und 64bit Versionen für verschiedene Windows-Systeme(inkl. Legacy-Support-Modul für Win 95/98) bekannt, es gibt jedoch auch Hinweise auf Versionen für andere Plattformen.
Die Experten glauben, dass das Modul zum Neuprgrammieren der Firmware selten verwendet und nur bei "high-value-targets" eingesetzt wird.
Quellen:
You do not have permission to view link please Anmelden or Registrieren
You do not have permission to view link please Anmelden or Registrieren
Ergänzung:
Q&A von Kaspersky von 02/2015:
You do not have permission to view link please Anmelden or Registrieren
Zuletzt bearbeitet:
