18.02.2015, 06:55 Uhr | 0 |

Spionagesoftware der Superlative Equation Group ist die Mutter aller Hacker

Antiviren-Spezialisten warnen vor der bislang größten Hacker-Bedrohung. Die Equation Group getaufte Truppe manipuliert die Firmware von Festplatten und kann somit weder gefunden noch gelöscht werden. Es existieren Parallelen zu Stuxnet und Regin, die unter anderem von der NSA stammen sollen. 

Cyber-Angriff
Á

Das russische IT-Sicherheitsunternehmen Kaspersky Lab hat eine Spionagesoftware entdeckt, die alles bisher Gekannte an Bedrohungspotential in den Schatten verbannt.

Foto: Verifox

Das russische IT-Sicherheitsunternehmen Kaspersky Lab hat eine Spionagesoftware entdeckt, die alles bisher Gekannte an Bedrohungspotential in den Schatten verbannt. Equation Group haben die Spezialisten die damit operierende Hackergruppe getauft. Kaspersky nennt die Entwickler dieser Familie von Spionagewerkzeugen „wahrscheinlich einer der raffiniertesten Cyberangriffsgruppen der Welt und die am weitesten entwickelte Bedrohung, die wir je gesehen haben.“

Auch Windows-8 ist vor diesen Trojanern nicht sicher

Kaspersky hat sechs Angriffsplattformen ausgemacht, denen die IT-Sicherheitsexperten die Namen Fanny, Grayfish, Doublefantasy, Triplefantasy, Equationlaser und Equationdrug gegeben haben. Die fantastischen Sechs arbeiten dabei auf perfide Art und Weise zusammen. Doublefantasy zum Beispiel nistet sich auf einem Rechner ein und kundschaftet diesen aus. Wenn der infizierte Rechner von Interesse ist, ermöglicht die Schadsoftware das Nachladen weiterer Malware wie Equationdrug oder Grayfish. Die beiden befallen praktisch alle Windows-Betriebssysteme, die neuere Plattform Grayfish überwindet mühelos auch Windows 8.

Komponenten verschlüsselt in der Registrierdatenbank versteckt 

Grayfish steuert dann den kompletten Rechner. Vor einer Entdeckung schützt sich der graue Fisch, in dem er alle Komponenten sowie die abgefangen Daten verschlüsselt in der Registrierdatenbank des Betriebssystems ablegt. Da auf diese Weise im Dateisystem keinerlei ausführbare Module auftauchen, ist der graue Fisch für Antivirensoftware unsichtbar. Das Programm Fanny versteckt sich auf USB-Sticks und soll Computer auskundschaften, die vom Internet getrennt sind.

Infektionen in 30 Ländern

Kaspersky hat Computer in 30 Ländern gefunden, die mit einem oder mehreren Spionage-Tools der Equation Group infiziert sind.

Die meisten Angriffe fand das Unternehmen im Iran, in Russland, Pakistan, Afghanistan, China, Mali, Syrien, Jemen und Algerien. Regierungs- und Militäreinrichtungen gehörten ebenso zu den Zielen, wie Telekommunikationsfirmen, Banken, Energieversorger, Nuklearforscher, Medien und islamische Aktivisten.

Festplatten-Firmware manipuliert

Besonders perfide: Zwei der Schad-Module wurden direkt in die Firmware der Festplatten eingeschleust. Dadurch verschaffen sich die Angreifer nicht nur den vollen Zugriff auf die Rechner. Derart platziert kann sich die Malware immer wieder herstellen. Sie kann das Löschen von Festplattenbereichen verhindern. Die Experten von Kaspersky haben ein Dutzend Festplattenhersteller ausgemacht, bei deren Produkten die Schadsoftware die Firmware der Festplatten manipulieren kann.

„Darunter befinden sich auch die beliebten Unternehmen Western Digital, Maxtor, Samsung, Toshiba und Seagate. „Dies ist vielleicht das stärkste Werkzeug im Arsenal der Equation Group und die erste bekannte Malware, die direkt Festplatten infiziert“, schreiben die Kaspersky-Experten in ihrem Bericht.

Parallelen zu Stuxnet und Regin

Costin Raiu, Direktor des Gobal Research and Analysis Team bei Kasperksy-Lab betont: „Ein weiterer gefährlicher Punkt: Wird eine Festplatte mit diesem gefährlichen Code infiziert, ist es unmöglich die Firmware zu scannen. Einfacher gesagt: für die meisten Festplatten existieren Funktionen zum Beschreiben des Firmware-Bereichs ihrer Hardware, aber nicht zur Wiedergabe. Das bedeutet, dass wir praktisch blind sind und mit dieser Malware infizierte Festplatten nicht erkennen können.“

Es gibt einige Hinweise darauf, dass die jetzt entdeckte Mutter aller Spionageattacken aus dem Hause des US-Geheimdienst National Security Agency (NSA) kommt. So beherrscht die Malware der Equation-Group mehrere der Tricks, die zu den Kernfunktionen der NSA-Mitentwicklungen Stuxnet und Regin gehören. Die Spuren, die Kaspersky fand, lassen sich bis in das Jahr 2001 zurückverfolgen. Damit wäre die Schadsoftware der Equation-Group der Urahn von Stuxnet und Regin.

Anzeige
Von Detlef Stoller
Zur StartseiteZur Startseite
schlagworte: 
kommentare

Aktuell wurden noch keine Kommentare zu diesem Artikel abgegeben. Loggen Sie ich ein oder melden Sie sich neu an, wenn Sie noch keine Zugangsdaten haben
> Zum Login     > Neu anmelden