Spezialisten des russischen Virenschutz-Entwicklers Kaspersky haben kürzlich eine Reihe von Programmen aufgedeckt, mit deren Hilfe Geheimdienste wie die NSA auch besonders gesicherte Computersysteme von Regierungen, Militärs und Unternehmen ausspionieren können. Was Kaspersky Lab präsentierte, klang nach Spionagesoftware der Superlative: Sie nistet sich unlöschbar auf Festplatten ein und umgeht alle Schutzvorkehrungen. Equation Group nennt Kaspersky die Urheber. Vieles deutet darauf hin, dass es sich dabei um die Spezialeinheit Tailored Access Operations (TAO) der NSA handelt.
Die Supersoftware fand sich auf rund 500 Rechnern weltweit. Aber in
nur fünf Fällen fanden die Schadsoftware-Spezialisten die raffinierteste Version, um
nicht zu sagen: die unheimlichste. Wie sie funktioniert, berichtet das Magazin Wired nun erstmals ausführlich. Doch so mächtig sie erscheinen mag: einzigartig ist sie nicht.
Kernstück ist demnach eine Datei namens nls_933w.dll.
Es soll sich dabei um einen Firmware-Flasher handeln, ein Modul, mit dem
die Angreifer die Firmware – also die zur Steuerung der Hardware notwendige vorinstallierte Software – von verschiedenen handelsüblichen Festplatten aus
der Ferne ersetzen konnten. Die Opfer eines solchen Angriffs sind dann nicht mehr Herr über ihren eigenen Rechner.
Der Grund dafür ist die besondere Lage der Firmware in einem speziellen Speicher oder Chip, von wo aus sie die grundlegende Funktion der Festplatte steuert. Dieser Speicher oder Chip kann von Antivirensoftware und vom Anwender nicht durchsucht werden, und die Firmware wird selbst dann nicht beeinträchtigt, wenn jemand das Betriebssystem seines Computers löscht und neu aufspielt. Mit anderen Worten: die bösartige Firmware der Equation Group ist gekommen, um zu bleiben. Loswerden kann man sie nach derzeitigem Stand nur noch, indem man die Festplatte zerstört und wegschmeißt.
Abgesehen davon bietet die Lage noch
weitere Vorteile: So belegt die Firmware meist nicht den kompletten
Speicherplatz ihres Chips, ein Rest bleibt ungenutzt und für den Computernutzer unzugänglich. Die Version der Equation
Group nutzt diesen Rest als versteckten Speicher.
Das funktioniert im Zusammenspiel mit anderen Schnüffelprogrammen. Kaspersky hat verschiedene solcher Pakete identifiziert und zwei von ihnen GrayFish und EquationDrug getauft. Beide sind in der Lage, einen Zielrechner nach interessanten Dateien zu durchsuchen und diese dann auf dem Chip mit der Firmware abzulegen. Weil Computernutzer nicht einfach nachschauen können, was auf diesem Chip gespeichert ist, ist das ein ziemlich gutes Versteck.
Zudem kann es eine geradezu elegante
Methode sein, die Verschlüsselung einer Festplatte auszuhebeln. Weil diese den
Firmware-Chip nicht mit absichert, muss der Angreifer später nur noch auf den
geheimen Speicherplatz zugreifen können, um an die dorthin kopierten
unverschlüsselten Dateien zu gelangen. Alternativ könnte ein Spionagepaket wie
GrayFish das Entschlüsselungspasswort abgreifen, wenn der
Computernutzer es eingibt.
Ist
der Computer aus Sicherheitsgründen nicht mit dem Internet verbunden – Kaspersky
weist darauf hin, dass dies bei einem der fünf befallenen Rechner der Fall war, ohne zu erklären, wie er infiziert wurde
–, brauchen die Angreifer irgendwann allerdings physischen Zugriff, um die gesicherten
Daten auslesen zu können. Eine Grenzkontrolle kann dazu reichen. Die Voraussetzungen für eine solche Spionageaktion und die möglichen Komplikationen zeigen schon: Es handelt sich um Werkzeuge, die nur sehr selten eingesetzt werden.
Forscher haben ähnliche Hacks entwickelt
Brauchen die Angreifer noch mehr Speicherplatz, können sie im normalen Speicher der Festplatte ein weiteres Versteck anlegen. Dass die NSA genau das können wollte und mittlerweile vermutlich kann, geht aus einem Dokument von 2007 hervor, dass der Spiegel veröffentlicht hat. Covert Storage Product nennt die NSA die Idee darin: Manipulierte Firmware soll dem Betriebssystem nicht die tatsächlich verfügbare Speicherkapazität melden, sondern einen Teil davon geheim halten. Der soll nur über ein spezielles Kommando zugänglich und anschließend wieder abschließbar sein.
Aber nicht nur Geheimdienste beschäftigen sich mit solchen Angriffsszenarien. Schon 2013 demonstrierte ein Hacker, der sich Sprite_tm nennt, wie man die Firmware einer Festplatte "reverse engineeren" und überschreiben kann. Im vergangenen Jahr haben acht Experten um den Sicherheitsforscher Travis Goodspeed mit ähnlichen Methoden ein potenziell ähnlich mächtiges und kaum zu entdeckendes Schnüffelwerkzeug geschaffen wie es die Equation Group getan hat. Und die Forscher der Berliner Security Research Labs um Karsten Nohl haben die Firmware von USB-Geräten gehackt und so verschiedene Geräte in perfide Wanzen verwandelt. Nohl sagt, das Reverse Engineering einer Festplatten-Firmware erfordere "etwas Expertise und einige Wochen Zeit".
Alle drei Hacker- und Forschergruppen relativieren damit ein wenig die Aussage von Kaspersky, etwas Komplexeres als die Infektion der Festplatten-Firmware habe man noch nie gesehen. In der Veröffentlichung von Goodspeed und seinen Kollegen heißt es, nicht nur staatliche Organisationen können solche Spionageprogramme entwickeln, sondern auch "finanziell mittelmäßig ausgestattete Kriminelle".
Kommentare
Was sollen wir daraus lernen?
Was die NSA tut ist eh nicht so schlimm, weil es andere auch tun könnten?
Wäre Abhören und Spionage erlaubt, dann wäre es demokratisch legitimiert in unseren Verfassungen. Das ist aber nicht der Fall.
Bis dies erlaubt ist, ist es verboten, muss gefahndet und auch bestraft werden.
Ich habe auch das interview mit Oettinger gelesen. http://derstandard.at/200...
Es macht es aber definitiv nicht erlaubt dies zu tun, nur weil man davon ausgeht das die nichts Böses beabsichtigen! Es bleibt ein Strafdelikt, und unsere Staaten müssen dagegen vorgehen, nicht umsonst wurde es in den Europäischen Menschenrechten festgehalten. Art. 5a.
Das Problem ist eine .dll
Mir scheint wir reden über ein reines Windows-Problem. Wer ein unsichereres Produkt auf den Markt bringt haftet.
Mir ist klar, dass es fast unmöglich ist, sichere Software zu entwickeln. Fehler stecken in jedem Betriebssystem. Bei Winddows ist es aber absolut unmöglich sich abzusichern. Dafür müßte Microsoft langsam mal einen auf den Deckel bekommen.
Klausabc2.0: .....wir reden über ein reines Windows-Problem.
Wer ein unsichereres Produkt auf den Markt bringt haftet.
###
Das ist die eine Seite. Die ANDRER muss sein,die Firma dazu zu zwingen den Sourcecode ihrer Produkte zur Verfügung zu stellen, bzw. öffentlichen Institutionen und sicherheitrelevanten Firmen usw. aus Sicherheitsgründen den Einsatz dieses OS zu verboieten, so lange sie nicht vom Hersteller eine Garantie gegen solche Angrifsszenarien bekommen :-)
.
Das würde weh tun und wohl den Markt bereinigen bzw. mehr Datensicherheit schaffen!
.
Gruss
Sikasuu
.
Ps. Wie lange braucht es denn noch bis in EUROPA jemand auf die Idee kommt ein gefördertes auf transparent Sicherheit geprüftes OS aus der opensource Ecke zu Vreügung zu stellen. Langsam muss doch auch der letzte Politiker begreifen, das er immer mehr in den Ruch kommt nicht Vertreter seines Volks sonder "Lakei" der U-SA zu sein :-((
(Fast) alle Aussagen im Artikel richtig
Man könnte fast alle Aussagen im Artikel unterschreiben.
Mir stößt allerdings der Grundtenor auf. Natürlich sind diese Methoden nicht "einmalig" im wörtlichen Sinne. Das ist ja klar und sollte auch klar sein.
Das Problem ist aber auch nicht die "Einmaligkeit" der Waffen oder deren Komplexität, von der der Artikel handelt, sondern die gewaltige Macht (!), die die NSA besitzt.
Erst diese Macht, nämlich sehr viele Ressourcen zentral bündeln zu können und die Daten der ganzen Welt mit allen möglichen Mitteln zusammenzuführen, ist einmalig in der Geschichte und wird in den Geschichtsbüchern eines der dunkelsten Kapitel der Menschheit werden. Die Frage ist nur noch wie dunkel.
Nebenbeibemerkt ist die Komplexität einer Waffe nicht wirklich ein Maß, um ihren (möglichen) Schaden bewerten zu können.
Feuer bspw. ist eine recht einfache Angelegenheit und jedes Kind schafft es ein Feuerchen zu entzünden. Die Auswirkungen dieser nicht einmaligen und wenig komplexen "Waffe" können aber verheerend sein, wenn ein ganzer Wohnkomplex niederbrennt.
Die Geschichtsschreiber müssen sich später eigentlich nur noch fragen, was schlimmer war, die Überwachung selbst oder die Ohnmacht der Überwachten nichts (!), aber auch wirklich gar nichts dagegen unternommen zu haben.
Was die NSA kann könne andere theorethisc auch
Wenn die NSA absichtlich für Sicherheitslücken sorgt oder für sich geheimhält dann müssen sie sich nicht wundern, dass sie auch von solchen Attacken betroffen sind und sich kaum wehren können. Solche Attacken geben übrigens auch Wissen an den Angegriffenen weiter. Beispielsweise sind die "Cyberangriffe" Irans durch Stutnext etc. deutlich ausgereifter geworden
Quelle?
Gibt es Berichte dazu, dass die Cyberangriffe Irans durch Stuxnet verbessert wurden? Würde mich ebenfalls mal interessieren