Sicherheitsforscher von Eset haben eine Cyber-Attacke entdeckt, bei der die Angreifer erstmals erfolgreich ein sogenanntes UEFI-Rootkit einsetzten. Die vom IT-Security-Anbieter LoJax getaufte Malware nutzt eine Schwachstelle in der UEFI des Mainboards aus und nistet sich in dessen Speicher ein. Von dort aus übernimmt LoJax die Kontrolle des gesamten Rechners und lässt sich nur schwer wieder entfernen, so Eset weiter. Virenprogramme seien ebenso wirkungslos gegen die Malware wie ein Austausch der Festplatten.

UEFI (Unified Extensible Firmware Interface) ist eine Standardspezifikation der Softwareschnittstelle zwischen Betriebssystem und Firmware eines Geräts. Es ist der Nachfolger des Mitte der 1970er Jahre eingeführten BIOS. Aus diesem Grund stuft Eset die Bedrohung durch UEFI-Rootkits als besonders ernst ein, da es auch kaum Firmware-Updates für BIOS beziehungsweise UEFI gebe.

Dies mache UEFI-Rootkits zu gefährlichen und mächtigen Werkzeugen für Angreifer, da sie den Zugriff auf den gesamten Computer ermöglichen und mit Zusatz-Malware in der Lage sind, beispielsweise den Datenverkehr mitzuschneiden oder umzulenken. Darüber hinaus seien Schädlinge wie LoJax nur schwer zu erkennen und mit Sicherheitsmaßnahmen wie etwa einer Neuinstallation des Betriebssystems oder einem Festplattenaustausch nicht loszuwerden. Stattdessen benötigt das Bereinigen des infizierten Systems Kenntnisse, die über diejenigen eines durchschnittlichen Anwenders hinausgehen, etwa das Flashen von Firmware.

Eset vermutet hinter den Angreifern die Sednit-Gruppe — auch APT28 oder FancyBear genannt. Diese hat bereits durch ihre Angriffe auf hochrangige Regierungsziele auf sich aufmerksam gemacht. Als mögliche Ziele der LoJax-Kampagne befürchtet der IT-Sicherheitsanbieter unter anderem Regierungsnetzwerke, Großunternehmen, Rüstungskonzerne oder auch NGOs.

Um sich vor UEFI-Rootkits zu schützen, ist es laut dem IT-Sicherheitsanbieter nötig, die Firmware auf dem aktuellen Stand zu halten und sie in die regulären Scans mit einzubeziehen. Dazu hat Eset beispielsweise den hauseigenen UEFI-Scanner im Portfolio, der schädliche Komponenten in der PC-Firmware erkennen soll.

Informationen zu den Angriffen mit UEFI-Rootkit findet sich in einem englischen White Paper unter www.welivesecurity.com/papers/white-papers/ sowie im Blog des Herstellers unter www.welivesecurity.com/deutsch/2018/09/27/lojax-uefi-rootkit-sednit-apt28/.

Timo Scheibe ist Redakteur bei der LANline.