//
Poststraße
Überwachung, IQ, Kultur

NSA Spion schon beim PC-Kauf gratis dabei

Seit Jahren, wenn nicht sogar Jahrzehnten treibt eine Gruppe von Cyberangreifern weltweit ihr Unwesen und setzt auf äußerst hochentwickelte Technik. Das zumindestens behauptet Kaspersky. Details bereits bekannter Malware impliziert Verbindungen zum US-Geheimdienst NSA. Der Clou, die Spionagesoftware ist beim Neukauf von Computern gleich mit dabei, gespeichert in der unerreichbaren Hardware der Festplatte.

Snowden befragt Putin

Snowden befragt Putin

Die russische IT-Sicherheitsfirma Kaspersky Lab hat Details zu einer Equation Group getauften Hackergruppe veröffentlicht, die mit ausgefeilten Methoden Regierungen und Unternehmen in mehr als 30 Ländern angegriffen haben soll. Auch wenn sie nicht direkt genannt wird, gibt es Hinweise, das die NSA oder ein anderer US-Geheimdienst dahinter steckt. Als besonders intensive Angriffsmethode hebt Kaspersky die Fähigkeit der Gruppe hervor, die Firmware von Festplatten bekannter Hersteller zu manipulieren. Die entsprechende Malware habe man in zwei Festplatten gefunden. Dass die NSA intern erklärt, dazu in der Lage zu sein, hatten bereits Jacob Appelbaum und Der Speigel anlässlich des 30C3 in Hamburg öffentlich gemacht.

NSA-Skandal

Die NSA, der britische GCHQ und andere westliche Geheimdienste greifen in großem Umfang internationale Kommunikation ab, spionieren Unternehmen sowie staatliche Stellen aus und verpflichten Dienstleister im Geheimen zur Kooperation. Einzelheiten dieses totalen Überwachungssystems enthüllen streng geheime Dokumente, die der Whistleblower und ehemalige NSA-Analyst Edward Snowden an sich gebracht und an Medien weitergegeben hat.

Kaspersky bringt die Equation Group (übersetzt „Gleichungs-Gruppe“) zwar nicht direkt mit US-Behörden wie der NSA in Verbindung, erklärt aber, dass es „solide Hinweise“ dafür gebe, dass mit den Erschaffern der berüchtigen Viren von Stuxnet und Flame zusammengearbeitet wurde. So hätten die Entwickler Zero-Day-Lücken ausgetauscht, die in einigen Fällen von der Equation Group genutzt worden seien, bevor sie bei Stuxnet oder Flame eingesetzt wurden. Als Verantwortliche hinter diesen beiden äußerst hochentwickelten Malware-Programmen waren bereits US-Geheimdienste wie die NSA und die CIA ausgemacht worden.
Auf den Namen Equation Group hat Kaspersky die Angreifer nach eigenen Angaben wegen deren Vorliebe für Verschlüsselungsalgorithmen getauft. Seit wann sie aktiv ist, sei nicht bekannt, aber einige der ältesten Malware-Programme stammten aus dem Jahr 2002. Anhand anderer Spuren ließe sie sich sogar bis ins Jahr 1996 zurückverfolgen. Demnach sind Festplatten seit frühestens 1996 betroffen.

Angegriffen wurden dem ausführlichen Bericht von Kaspersky zufolge Ziele in mehr als 30 Ländern, darunter auch Deutschland, Frankreich, Großbritannien und in den USA. Zu den Opfern gehörten Regierungen und diplomatische Institutionen, Rüstungskonzerne, Forschungseinrichtungen, Massenmedien sowie Kryptographieentwickler. Während in Deutschland Telekommunikationsunternehmen betroffen seien, habe man in Großbritannien und den USA islamische Gelehrte und Aktivisten als Ziele ausgemacht. Diese Länder seien aber weniger stark betroffen, besonders viele Infektionen gebe es dagegen etwa im Iran und in Russland.

Die Gruppe nutzt demnach ein mächtiges und riesiges Arsenal an Trojanern. Die Infizierung der Firmware von Festplatten sei darunter nur eine, wenn auch die gemeinste Angriffsmethode. Betroffen sind nahezu die wichtigsten Hersteller von Festplatten. Die Infizierung des Bios das sich auf einem Hardwarechip in der Festplatte befindet, weist darauf hin, das der Hersteller auf höchster Geschäftsebene davon  Kenntnis hat. Es liegt auf der Hand das Firmen ihr Geschäft nicht durch Viren freiwillig oder fahrlässig schädigen würden. Es muss sie also jemand sehr Mächtiges dazu genötigt haben.

Funktionsprinzip

Diese Malware befindet sich direkt auf einem Chip in der Festplatte, die das Bios beherbergt und überlebt daher eine eine Neuinstallation des Betriebssystems problemlos. Doch im Gegensatz zu jedem anderen Virus überlebt dieser auch die Formatierung der Festplatte. Virenprogramme können ihn daher garnicht entdecken, denn sie durchsuchen ja nur den üblicherweise genutzten Bereich der Festplatte.

Neben dem eigentlichem Sinn der Malware Daten auf dem Computer auszuspähen, werde sie dazu genutzt,  einen versteckten Bereich auf der Festplatte zu erschaffen, auf dem Daten die erspähten Daten heimlich gesichert werden können. Eingesetzt würden eine Reihe nicht-dokumentierter ATA-Befehle mit denen üblicherweise das Bios gesteuert wird.
Die Nutzung dieser ausgespähten Daten in diesem versteckten Bereich kann wahlweise über USB-Sticks, Internet oder gleich durch mitnehmen der Festplatte (mit oder ohne Computer drumherum) geschehen.
Die einzige Methode, die Malware los zu werden, sei die totale Zerstörung der Festplatte, twitterte Kaspersky-Forscher Fabio Assolini. Also mehrfach kräftig mit dem Hammer draufhauen bis das Ding futsch ist.

Die Umprogrammierung von Festplatten-Firmware ist so selten, dass der Schluss naheliege, dass sie nur gegen ganz besondere Ziele oder unter ganz außergewöhnlichen Umständen eingesetzt würde. Als Namen jenes Moduls, was das ganze über das Betriebssystem steuert gibt Kaspersky die Datei „nls_933w.dll“ an.

Eine andere Software, die Kaspersky „Fanny“ getauft hat, könne Netzwerke scannen, die keine Verbindung zur Außenwelt beziehungsweise ins Internet haben. Dabei komme ein infizierter USB-Stick zum Einsatz, der Informationen sammelt, sobald er an einen Computer in dem Netzwerk angeschlossen ist. Wenn er an einem Rechner mit Internetverbindung steckt, würden Daten gesendet und empfangen. Über diesen Umweg könnten sogar Manipulationen an dem abgetrennten Netzwerk vorgenommen werden.

Anderen Zielpersonen sei auf klassischerem Wege Malware untergejubelt worden. So hätten sie nach einer wissenschaftlichen Konferenz in Houston (USA) eine CD mit Konferenzmaterialen zugesandt bekommen. Darüber sei dann eine Malware auf dem persönlichen Rechner installiert worden. An welcher Stelle diese CDs kompromittiert

[Update 17.02.2015 – 11:05 Uhr] An einer Stelle erklärt Kaspersky, dass beobachtete Angriffe über dschihadistische Diskussionsforen im Internet ausgeführt wurden. Durch ein spezielles PHP-Skript seien nur tatsächlich eingeloggte Besucher kompromittiert wurden. Die eingebaute Abfrage der IP-Adresse zeige aber, dass offenbar großen Wert darauf gelegt wurde, Nutzer aus bestimmten IP-Adressbereichen nicht zu infizieren. Bereiche, die auf diese Weise ausgenommen wurden, gehören demnach vor allem zu Jordanien, der Türkei und Ägypten.

Die analysierte Malware läuft demnach in allen Fällen unter Windows, aber man habe Hinweise auf Exploits für andere Betriebssysteme. So nutzten offenbar viele Ziele einer betroffenen Gruppe in China Computer mit Mac OS X. Außerdem habe man einen Hinweis dafür gefunden, dass iPhones infiziert werden können, da deren Nutzer von einem PHP-Skript auf eine Seite mit einem Exploit gelotst würden.

Zu den modernsten gefundenen Malware-Programmen gehört demnach ein Implantat, das Kaspersky Grayfish getauft hat. Es sei offenbar zwischen 2008 und 2013 für verschiedenste Windows-Versionen und in 32-Bit- sowie 64-Bit-Versionen entwickelt worden. Grayfish übernehme den Bootvorgang und habe dann die volle Kontrolle. Angelegt würde etwa ein eigenes verschlüsseltes Dateiensystem in der Registry, während zusätzlich bestimmte gültige Treiber – unter anderem einer von CloneCD – infiziert würden. In einem anderen Fall wird eine seit 2009 bekannte Sicherheitslücke ausgenutzt, trotz der die digitale Signatur noch nicht zurückgezogen worden sei.
(mho)

Advertisements

Über monopoli

Nobody rules us but we ourselves.

Diskussionen

3 Gedanken zu “NSA Spion schon beim PC-Kauf gratis dabei

  1. Hat dies auf Aussiedlerbetreuung und Behinderten – Fragen rebloggt und kommentierte:
    Glück, Auf, meine Heimat!

    Verfasst von Senatssekretär FREISTAAT DANZIG | 14 März, 2015, 4:53 am

Trackbacks/Pingbacks

  1. Pingback: NSA Spion schon beim PC-Kauf gratis dabei | Arbeitsgruppe Zukunftspolitik Hamburg - 27 Dezember, 2016

  2. Pingback: NSA Spion schon beim PC-Kauf gratis dabei | Arbeitsgruppe Zukunftspolitik Hamburg - 16 Dezember, 2015

Was sagst du dazu?

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s

Archiv

NATO verlangt 2% des Haushaltes
für das Militär auszugeben,

das wären 65 Mrd. Euro jährlich
derzeitiger Militär-Etat: 36,6 Mrd.$
Militär-Etat USA 2015: 1839,53$
Militär-Etat Ger 2017:... 488,09$
Militär-Etat Rus 2015:... 466,44$
(Angaben pro Einwohner des Landes.)

Blog Stats

  • 736,462 hits
Follow monopoli on WordPress.com

Deutschland

Deutschland-DNA

Deutschland-DNA

RSS www.tlaxcala-int.org

  • Ein Fehler ist aufgetaucht - der Feed funktioniert zur Zeit nicht. Probiere es später noch einmal.

RSS Pravdatvcom

  • Ein Fehler ist aufgetaucht - der Feed funktioniert zur Zeit nicht. Probiere es später noch einmal.

RSS Lausitzer KlimaCamp

  • Ein Fehler ist aufgetaucht - der Feed funktioniert zur Zeit nicht. Probiere es später noch einmal.
%d Bloggern gefällt das: