[Netzwelt] The Equation Group: Malware übersteht in Firmware von HDDs/SSDs auch Formatierung

Intel Security untersuchte im jüngst veröffentlichten McAfee Labs Threats Report für Mai 2015 das erste Mal Angriffe auf Firmware von HDDs und SSDs. Auch wenn in den letzten Jahren verschiedenste Malware zur Manipulation von Firmware oder BIOS beobachtet wurde, erreicht "The Equation Group" eine neue Qualität. Es handelt sich bei Equation Group um eine Sammlung mehrerer Module, die je nach Bedarf installiert/nachgeladen werden und in der Lage sind Festplatten und Solid-State-Disks diverser Hersteller zu kompromittieren.
HDDs/SSDs deren Firmware befallen ist, sind in der Lage den Schadcode jedes Mal zu laden, wenn das betroffene System gebootet wird. Die Malware übersteht eine Neuinstallation des Betriebssystems ebenso wie eine Formatierung des Datenträgers und ist durch Sicherheitssoftware nicht mehr erkennbar, wenn sie sich einmal in die Firmware geschrieben hat.

Der Angriff auf den Ziel-Host erfolgt dabei in mehreren Schritten:

• Zunächst wird eine Watering-Hole-Attacke benutzt, bei der vom Ziel oft besuchte Websites infiziert werden. Besucht das Opfer eine dieser Seiten, wird ein Malware-Modul installiert, das verschiedene Späh- und Aufklärungs-Aufgaben übernimmt.
• Wurde hierdurch der gewünschte Zielrechner identifiziert wird in einer 2. Phase ein weiteres Modul nachgeladen, das die Installation der Firmware übernimmt, die auf den jeweiligen Hersteller und Modell der HDD/SSD zugeschnitten ist.
• Das zweite Modul bietet nun eine API zu einem versteckten Speicherbereich in dem die veränderte Firmware beliebigen Code schreiben und lesen kann.

Wer steckt dahinter?
The Equation Group wird mit Flame, Stuxnet, Duqu und Gauss in Verbindung gebracht, bei denen von diversen Quellen eine Entwicklungsbeteiligung von USA bzw. NSA kolportiert wird.
Die Analysen von Intel Security zeigten Ähnlichkeiten im Prgrammierstil, bei der Nutzung bestimmter Strukturen und Methoden im Code sowie bei den Angriffsmustern.


Wer ist betroffen?
Aktuell sind 32bit und 64bit Versionen für verschiedene Windows-Systeme(inkl. Legacy-Support-Modul für Win 95/98) bekannt, es gibt jedoch auch Hinweise auf Versionen für andere Plattformen.
Die Experten glauben, dass das Modul zum Neuprgrammieren der Firmware selten verwendet und nur bei "high-value-targets" eingesetzt wird.


Quellen:
http://www.mcafee.com/us/resources/reports/rp-quarterly-threat-q1-2015.pdf
http://www.theregister.co.uk/2015/06/09/nsa_firmware_sighted_ctb_ransomware/

Ergänzung:
Q&A von Kaspersky von 02/2015:
https://securelist.com/files/2015/02/Equation_group_questions_and_answers.pdf

 

[Jester]

@Neo:
Nühjoh, der Dropper erkennt die verbaute Hardware und saugt sich die benötigten Module. Ich gehe unbesehen davon aus, dass ein generischer Treiber für einen Hersteller von z. B. Festplatten mit ein paar Parametern an eine bestimmte Geräteversion angepasst werden kann. Ähnlich wird es sich mit den BIOS' verhalten, auch wenn hier proprietärer Low Level Code arbeitet.

Lutzigerweise bestritt die Masse an selbsternannten Fachleuten sofort und vehement die Möglichkeit, dass das machbar wäre (Ars Technica etc.). Gabs nicht neulich erst einen Exploit für Router, bei dem die Malware auch 15 Hersteller und deren Modelle mitbrachte? War das die Linux Server Geschichte? Weiß nimmer.

Der Dropper müsste für ein BIOS wieviel laden? 2MB maximal? *unsicher*

Machbar.

 

[tophirsch]

Re: The Equation Group: Malware übersteht in Firmware von HDDs/SDDs auch Formatierung

@Jester: Nur um das nochmal klarzustellen, "Equation Group" hat aber nicht alle von dir beschrieben Fähigkeiten, oder?
Aber wenn man bedenkt, dass die ältesten Zeitstempel von manchen gefundenen Modulen 14 Jahre alt sind, ist es nur logisch, das die jetzt schon sämtliche PoCs mit in eine neue Software eingearbeitet haben.


Habe auch schon gelesen, das AirGaps mittels USB-Sticks überwunden werden/wurden. Die Infektion und Kommunikation mit Command&Control(C&C)-Servern erfolgt dabei via Sneakernet:

• USB-Stick wird an Rechner angeschlossen mit Zugang zum Internet bzw. kompromittierten Netzwerk
• Malware auf Stick geladen und erstes Paket mit Befehlen vom C&C-Server, was die Software tun soll.
• Datenträger wird an isolierten Rechner angeschlossen->Infektion
• Malware verbleibt auf isoliertem Rechner und wartet auf den nächsten USB-Stick
• Jedes Mal, wenn ein USB-Stick an den isolierten Rechner angeschlossen wird, werden ausgespähte Informationen auf den Stick kopiert und dann an den C&C-Server gesendet, sobald der Stick an einem Rechner mit Netzzugang hängt.
• Weitergabe von Befehlen an die Schadsoftware erfolgt mit Befehlspaketen, die auf den Stick kopiert werden, wenn er im offenen Netz hängt und dann vom Stick kopiert werden, wenn er das nächste mal am isolierten Rechner hängt.

 

[Cybercat]

Re: The Equation Group: Malware übersteht in Firmware von HDDs/SDDs auch Formatierung

Wie wäre es mit einem hardwarebasierten Schreibschutz?
Kostet nicht viel und wer wirklich die Speichermedien flashen will, der soll eben nen Jumper setzen. Die paar Typen, die das brauchen, werden das ja wohl hin bekommen.

So nach dem ich mich jetzt vor lachen auf dem Boden Gewälzt habe, muss ich Dich doch jetzt mal fragen wie alt Du bist?

Als ich das erste mal eine Hardware-Komponente geflasht habe, (Adaptec 2940U) benötigte ich einen Eprom-Brenner und eine UV-Lampe. Hatte ich durch mein Elektronik-Hobby zur Verfügung.
Mein erstes Mainboard das ein neues Bios benötigte war ein Asus (Modellbezeichnung weiß ich nicht mehr, mit SCSI on Board und mit einem 486DX/4-100 bestückt)
Hatte ein Flash-Eprom das im Flash-Modus zusätzlich über einen anderen PIN 12 Volt benötigte. Die Spannung wurde per Jumper eingestellt.
Alle Boards die ich davor hatte, hatten ein nur durch UV löschbares Eprom verbaut und brauchten kein Update.

Nur um die faulen Computer-Besitzer zu entlasten wurden letztendlich EEProms eingesetzt die keine separate Schreib-Spannung benötigten.

Das heute Hardware kompromittiert werden kann, hat nur mit Faulheit und Bequemlichkeit und zum Teil Dummheit der Computernutzer zu tun.
Den viele haben das nicht hinbekommen einen Jumper zu stecken und haben die Hotlines terrorisiert.

 

[tophirsch]

Re: The Equation Group: Malware übersteht in Firmware von HDDs/SDDs auch Formatierung

@Neo:
Lutzigerweise bestritt die Masse an selbsternannten Fachleuten sofort und vehement die Möglichkeit, dass das machbar wäre (Ars Technica etc.).

Haste da zufälligerweise noch nen Link? Möchte deren Naivität gerne nochmal Schwarz auf Weiß sehen. Wenn man sich anguckt, wie leicht heute ein BIOS-Update zu machen ist, warum sollte dann niemand diese Mechanismen für bösartige Zwecke nutzen können?

Das heute Hardware kompromittiert werden kann, hat nur mit Faulheit und Bequemlichkeit und zum Teil Dummheit der Computernutzer zu tun.
Den viele haben das nicht hinbekommen einen Jumper zu stecken und haben die Hotlines terrorisiert.

Ich weiß auch garnicht, warum das für jeden Trottel machbar sein muss. Ich erwarte eigentlich, dass die Hardware auch im Auslieferungszustand tadellos funktioniert und das die Firmware bis an das Harwarelebensende funktioniert. Ich habe in meinem Leben bis jetzt nur 1 mal ein BIOS Update gemacht(auf dem bequemen Weg), weil ich eine Funktion brauchte(naja eher wollte) die es im Werkszustand nicht gab. Hab mich schon damals gefragt, woher ich jetzt wissen soll, dass sich in dem Image da nicht sonstwas verbirgt...

 

[Bruder Mad]

@ Jester:
Aber Überlegungen dir mal allein die schiere Menge an Bios-Versionen und sonstigen Controllern, für die ja dann die jeweils passende Routine zeitnah nachgeladen werden müsste... Und on-the-fly wird da wohl nicht mal eben was erstellt werden können...
Ich denke eher, dass so ein Angriff nur gezielt auf bekannte Hardware funktioniert.

Und was mich sehr stutzig macht: Warum wurde der Virus bei dem Typen nicht sofort nach seiner Entdeckung bzw. nach der Veröffentlichung des Verdachts deaktiviert und gelöscht? Wäre doch eigentlich logisch, oder?

 

[Cybercat]

Re: The Equation Group: Malware übersteht in Firmware von HDDs/SDDs auch Formatierung

@tophirsch: Früher war alles besser.
Jahre lang war nie ein Bios-Update erforderlich.
Fing urplötzlich mit dem Asus-Bard an und später auch bei meinem ersten DVD-Brenner. Konnte DVD-Rohlinge einer bestimmten Marke nicht ohne das Update brennen.

Wenn Updates nicht für "jeden Trottel" machbar wären denke mal nach was heute alles eingeschickt werden müsste.
Router, SSDs, DVD/BD Brenner, ganze Mainboards......

 

[Pleitgengeier]

Es ist eben billiger, Software auf den Markt zu werfen und bei Beschwerden zu patchen als einen exakten Betatest zu machen - wie früher, als das noch nicht ging.


Was ich nicht verstehe: Die Amerikaner beschuldigen ständig die Chinesen, HW mit Backdoors für deren Geheimdienst zu verkaufen.

Würden die Chinesen die Existenz dieses Projekts beweisen und veröffentlichen, dann hätte das für die amerikanische Wirtschaft wesentlich schlimmere Folgen als ein Atomschlag.
Deren HW- und Software-Industrie könnte sich künftig auf den nationalen Markt beschränken, außerhalb würde man deren Zeug nicht mal mehr geschenkt nehmen.
Die chinesische Wirtschaft würde davon extrem profitieren, schließlich gibt es sonst wo kaum HW-Produzenten.

 

[Jester]

@tophirsch:
Ars Technica
Infoworld

@Neo:
Nun, er wurde des Problems nicht Herr - seine Änderungen am Bios wurden zwar scheinbar gespeichert, hatten aber keinen sichtbaren Effekt. Neuinstallation brachte aus den bekannten Gründen nichts. Ruiu hat es ein Jahr (!) lang versucht, das Ding loszuwerden und sich dann erst über Twitter an die Welt gewandt. Und der Typ ist Hardcore Profi.

Ganz interessant auch, dass es irgendwann von einem Tag auf den anderen komplett still wurde um das Thema. Irgendwer hatte Ruiu zuvor auf G+ oder Twitter nahegelegt, dass er wohl Ziel eines APT geworden ist. Von diesem Tag an war es muxxmäuschenstill - bis heute. Ruiu hat sich auf das Thema nie wieder eingelassen.

BTW soooo viele BIOS' jibbet nit.

@Pleitgengeier:
Wenn das Ding - zumindest in einer früheren Evolutionsstufe - seit 2009 im Umlauf ist, würde ich die Wahrscheinlichkeit, dass nicht mehr als die 5 eyes über zowaz verfügen, bei ziemlich genau Null einordnen.

 

[Pleitgengeier]

@Jester: Was bedeutet APT?

Nun wäre vor allem interessant, ob dieses Ding gezielt eingesetzt wird (also eine Art Baukasten für maßgeschneiderte Trojaner für wertvolle Ziele darstellt) oder auf möglichst vielen Systemen eingeschleust wird.
Letztere Möglichkeit würde ja auch das Risiko von Analyse, Erkennung und Bekämpfung erheblich steigern - die chinesischen und russischen Geheimdienste haben ja sicher auch ihre Experten für sowas...

 

[Jester]

@Pleitgengeier:
Advanced Persistent Threat - alle pöhze Software, die in der Schöpfung so teuer gewesen sein muss und so komplex ist, dass sich sowas nur Staaten/Geheimdienste leisten können Quelle.

Ach, und Snake Oil!
Der vermaledeite Shice, den uns die AV-Hersteller als gottgegebenen Allwetterschutz verkaufen, taugt nur gegen a) bekannte Threats und b) heuristisch Erkennbare.

 

[TBow]

Re: The Equation Group: Malware übersteht in Firmware von HDDs/SDDs auch Formatierung

So nach dem ich mich jetzt vor lachen auf dem Boden Gewälzt habe, muss ich Dich doch jetzt mal fragen wie alt Du bist?

Ich nutze Computer nun schon seit fast mehr als 30 Jahren. Mit ein bisschen Mathematik kannst du nun mein Alter in etwa abschätzen.
Ich frag mich aber, was denn mein Alter mit dem Vorschlag eines hardwarebasierten Schreibschutzes zu tun hat? Bin ich alt genug, um mich noch an die "gute, alte Zeit" zu erinnern, wo man in der Tat noch Bastelgeschick benötigt hat?

Das heute Hardware kompromittiert werden kann, hat nur mit Faulheit und Bequemlichkeit und zum Teil Dummheit der Computernutzer zu tun.
Den viele haben das nicht hinbekommen einen Jumper zu stecken und haben die Hotlines terrorisiert.

1. Wieviele müssen denn die Hardware Flashen? Sehr wenige.
2. Es muss ja gar nicht jede Hardware mit hardwarebasiertem Schreibschutz ausgestattet sein. Eine Serie für den "Ich hab sowieso nicht zu verbergen" Kunden und eine teurere Serie für den "Uiii, meine Betriebsgeheimnisse möchte ich doch lieber schützen" Kunden.
Ich persönlich würde gerne mehr für ein solches System auf den Tisch legen.


Wenns möglich wäre, dann wär ich schon zum nächsten Bastler gerannt, hätte ihm ein paar Euro in die Pfoten gedrückt, damit er die Festplatten, Mainboards, Grafikarten usw. absichert.
Die Probleme sind ja seit Snowden bekannt, aber wie es aussieht tut sich auf dem Gebiet rein gar nichts. Kein Hardware Hersteller, scheint reagiert zu haben.

Ach, und Snake Oil!
Der vermaledeite Shice, den uns die AV-Hersteller als gottgegebenen Allwetterschutz verkaufen, taugt nur gegen a) bekannte Threats und b) heuristisch Erkennbare.

Die AV Hersteller werden selbst von Geheimdiensten ins Visier genommen. Besonders Kaspersky.
http://www.sueddeutsche.de/digital/...-gchq-spaehten-antivirus-firmen-aus-1.2532729

 

[tophirsch]

Nun wäre vor allem interessant, ob dieses Ding gezielt eingesetzt wird (also eine Art Baukasten für maßgeschneiderte Trojaner für wertvolle Ziele darstellt) oder auf möglichst vielen Systemen eingeschleust wird.
Letztere Möglichkeit würde ja auch das Risiko von Analyse, Erkennung und Bekämpfung erheblich steigern - die chinesischen und russischen Geheimdienste haben ja sicher auch ihre Experten für sowas...

In dem Q&A von Kaspersky vermutet man etwa 2000 Infektionen pro Monat, wobei die Software einen Selbstzerstörungsmodus besitzt und auf uninteressanten Rechnern wieder gelöscht werden dürfte. Anhand der Kommunikation mit C&C-Servern haben die bisher etwa 500(aktive) Opfer in über 30 Ländern identifiziert.

 

[Bruder Mad]

Die Zählen hören sich nach gezielten Angriffen an...
Und das mit der Selbstzerstörung ist dann bei dem von Jester erwähnten Typen seltsam...

 

[Jester]

@TBow:
Yup, welch Wunder aber auch Würde ein halbes Jahresgehalt drauf verwetten, dass die Kameraden auch sehr intensiv in (russischen) Foren unterwegs sind.

Bei dem ganzen flashbaren Unsinn fände ich einen generellen Hardware-Flash-Schutz in Form eines Schalters am Gehäuse auch nicht schlecht. BTW der einzige Virus außer dem Lamer Exterminator, der mich je erwischt hat, war WIN95-CIH, der u. a. das CMOS überschrieb und auch nur per Überspannung gelöscht werden konnte (Jumper switchen und mit der Uhrenbatterie 'eeprommen'). Sowas merkt man sich ^^

@tophirsch:
Ich lehne mich da mal weit aus dem Fenster: vermutlich kann die Malware aus [n] Modulen zusammengesetzt werden und so ziemlich jede Funktionspalette bieten sowie Form annehmen, also ein Framework. Wenn es spähen soll, wird es sich unauffällig verhalten, soll es angreifen, weniger.

Dass das Ding eine extrem effektive Verschleierungs- und Löschungsmechanik mitbringt, ist ja nur logisch. Wenn der Dropper aber sein Unheil schon auf Ring0-3 Ebene angerichtet hat, ist eine weitere Existenz im verwendeten BS ja auch gar nicht mehr erforderlich, ganz im Gegenteil.

Einerlei, m. E. ist das nicht nur "eine" Malware, ich gehe felsenfest davon aus, dass mehrere Nationen und/oder Dienste und auch Kriminelle alle möglichen Derivate bzw. eigene Versionen dieser Malware haben. Sieht man doch, in den Medien liest man es Tag für Tag. Wenn man weiß, dass es möglich ist, ist das Nachbauen nicht mehr so schwer, die Ressourcen vorausgesetzt.

 

[Pleitgengeier]

Equation Group: Neue Beweise deuten auf NSA-Beteiligung an Malware hin

Es würde mich nicht wundern wenn genau diese Software im Bundestag eingesetzt wurde.
BTW: Da war doch die Rede davon, dass man sogar die Systeme tauschen muss. Vermutlich wussten die da bereits, womit sie es zu tun hatten...

Der Fall, wo wir uns hier drüber lustig machten dass eine Behörde wegen Virenbefall die Rechner tauscht, erscheint dadurch auch in anderem Licht...

 

[tophirsch]

@Neo: Dragos Ruiu wurde nicht von "Equation Group" heimgesucht, der in den von mir geposteten Papers beschrieben wird. Entweder bietet "seine" Malware keine Löschfunktion oder er hat dafür gesorgt, immer einen infizierten Stick vorrätig zu haben.


@JesterDer im Betriebssystem vorhandene Teil wird eh gelöscht, wenn die Firmware verändert wurde, sofern ich das richtig verstanden hab.
Es werden zunächst viele Rechner mit einem Späh-Modul infiziert, um das korrekte Ziel zu identifizieren. Auf allen uninteressanten Rechnern zerstört sich das Modul wieder spurlos. Auf dem Ziel-Rechner auch, jedoch wird vorher ein weiteres Modul nachgeladen, das die Firmware verändert. Somit bleiben dort auch keine Spuren mehr auf BS-Ebene.
Obiges gilt für "Equation Group", wie von Kaspersky und Intel Security beschrieben, was sonst noch da draußen rumfleucht...who knows

--- [2015-06-23 17:19 CEST] Automatisch zusammengeführter Beitrag ---

@Pleitgengeier: Haste Recht, den Rechnertausch im Bundestag hatte ich garnicht mehr aufm Schirm...
Auf eine wahrscheinliche Beteiligung der NSA an der Entwicklung wird von Kaspersky auch eingegangen. Man hat Strings entdeckt, die verblüffende Ähnlichkeiten mit den Bezeichnungen aus den von Ed Snowden geleakten Dokumenten besitzen.
Auch interessant ist, das es sehr wahrscheinlich ist, das die Entwickler von Equation Group Kontakt zu den Entwicklern von flame, stuxnet und duqu gehabt haben und sich ausgetauscht haben. Wobei sich The Equation Group als die fähigste Entwicklergruppe herauskristallisiert:

"It seems to me Equation Group are the ones with the coolest toys," Costin Raiu, director of Kaspersky Lab's global research and analysis team, told Ars. "Every now and then they share them with the Stuxnet group and the Flame group, but they are originally available only to the Equation Group people. Equation Group are definitely the masters, and they are giving the others, maybe, bread crumbs. From time to time they are giving them some goodies to integrate into Stuxnet and Flame."

Quelle: ArsTechnica

 

[Cybercat]

Re: The Equation Group: Malware übersteht in Firmware von HDDs/SDDs auch Formatierung

@TBow: Ich wollte mit meinem Post ja sagen, das wir schon vor Jahren einen Hardware basierten Schreibschutz hatten. Das was du vorgeschlagen hast, hatten wir schon vor Jahren.
Nur wurde der aus Bequemlichkeit weggelassen. Wo ist das Problem wenn man das beibehalten hätte?
Nun rächt sich das.

 

[widarr]

Re: The Equation Group: Malware übersteht in Firmware von HDDs/SDDs auch Formatierung

So nach dem ich mich jetzt vor lachen auf dem Boden Gewälzt habe, muss ich Dich doch jetzt mal fragen wie alt Du bist?
...

Das heute Hardware kompromittiert werden kann, hat nur mit Faulheit und Bequemlichkeit und zum Teil Dummheit der Computernutzer zu tun.
Den viele haben das nicht hinbekommen einen Jumper zu stecken und haben die Hotlines terrorisiert.

Daran musste ich auch schon die ganze Zeit denken - wir sind alle Opfer der Convenience :-/

 

[Novgorod]

allein die schiere Menge an Bios-Versionen und sonstigen Controllern, für die ja dann die jeweils passende Routine zeitnah nachgeladen werden müsste...

mit NSA-mäßigen ressourcen ist das eigentlich überhaupt kein problem.. das BIOS für ein paar hundert modelle hat man schnell angepasst, zumal das meiste routine ist, sobald man es einmal "generisch" integriert hat.. die besondere leistung daran ist natürlich, den schadcode in ein kompiliertes image einzubauen, ohne den sourcecode zu kennen (zumindest bei allen fernöstlichen herstellern) - aber auch dieser teil muss nur wenige male mühsam herausgearbeitet werden und ist innerhalb von modellreihen (oder herstellern) weitestgehend gleich.. dann wirds "denen" wohl auch reichen, sich auf die gängigsten hersteller/reihen zu beschränken - die office-hardware in den meisten firmen, verwaltungen und regierungen ist ja weitestgehend gleich..

 

[Bruder Mad]

Hmmja... Aber was ist dann mit den Contollern in z.B. USB-Sticks?
Das ist China-Massenware, da wird wohl so ziemlich jeder sein eigenes Süppchen kochen, denke ich.