Kaspersky Lab enttarnt Spionagesoftware der "Equation Group"
Festplatten mit NSA-Firmware
Kaspersky Lab hat eine "Equation Group" genannte Hackertruppe enttarnt, die äußerst ausgefeilte Werkzeuge für Online-Angriffe entwickelt haben soll. Zu den Produkten der Gruppe zählt Festplatten-Firmware, die sich nicht entfernen lässt, ebenso wie Malware zur Infektion von Rechnern über Air Gaps hinweg.
Nachdem Kaspersky Lab jüngst über eine Reihe von Online-Banküberfällen in Höhe Hunderter Millionen Dollar informierte (LANline berichtete), präsentierte der russische Sicherheitsanbieter nun einen Report über die Enttarnung einer Spionagesoftware-Mannschaft, die laut Kaspersky-Verlautbarung „hinsichtlich technischer Komplexität und Raffinesse alles bisher Bekannte in den Schatten stellt“ – und die Security-Forscher beobachten laut eigenen Angaben über 60 international tätige „Bedrohungsakteure“. Sie tauften die Gruppierung, die seit fast zwei Jahrzehnten aktiv sein soll, „Equation Group“ (auf Deutsch: „Gleichungsgruppe“) wegen deren Vorliebe für Mathematik in Form von Verschlüsselungsalgorithmen.
Tausende von Zielen betroffen
Seit 2001, so der Report „Equation Group: Questions and Answers“, hat die Hackergruppe Tausende und vielleicht sogar Zehntausende Ziele in über 30 Ländern weltweit infiziert. Dazu zählten neben Regierungs- und Militäreinrichtungen auch Banken sowie Organisationen aus den Bereichen Telekommunikation, Luft- und Raumfahrt, Energie, Nuklearforschung, Öl- und Gasindustrie, Nanotechnologie, Massenmedien und Transport sowie Hersteller von Verschlüsselungstechnik, zudem islamische Aktivisten und Gelehrte.
Kaspersky Lab habe sieben Schwachstellen identifiziert, die die Schadsoftware der Equation Group ausgenutzt hat, darunter mehrere Zero-Days (bis dahin unbekannte Schwachstellen). Die Gruppe könne bis zu zehn Exploits hintereinander verwenden, nutze allerdings nie mehr als drei. Nach drei misslungenen Angriffen werde das System nicht infiziert – wohl ein Schutzmechanismus, um nicht aufzufallen.
Auf höchstem technischem Niveau
Bei der Equation Group sticht laut Angaben von Kaspersky Lab das hohe technische Niveau der Angriffswerkzeuge ebenso hervor wie die Fähigkeit, Angriffe sehr zielgerichtet durchzuführen. Obwohl die Kaspersky-Forscher es vermeiden, Namen zu nennen, muss man hinter der Gruppierung den US-amerikanischen Geheimdienst NSA (National Security Agency) vermuten. Dies legen die Namen einzelner Software-Tools nahe, die laut einem Spiegel-Bericht in ähnlicher Form auch schon im Dokumentenfundus von Edward Snowden auftauchten, zudem das Ausmaß des Zugriffs auf den Quellcode unterschiedlichster IT-Ausrüster.
So haben die russischen Forscher Code entdeckt, der die Umprogrammierung der Firmware zwölf bekannter Festplattenhersteller erlaubt, darunter Laufwerke von Hitachi, IBM, Maxtor, Samsung, Seagate, Toshiba und Western Digital – was unter dem Strich Zugriff auf einen Großteil des Festplattenmarkts bedeutet. Laut Kaspersky-Angaben handelt es sich hierbei um „die erste bekannte Malware, die direkt Festplatten infiziert“.
Die „Grayfish“ genannte Malware, versteckt in der Betriebssoftware der Festplatte, schafft laut Kaspersky-Angaben einen nicht auffindbaren Speicherbereich für Daten, damit die Angreifer diese eines Tages aus der Ferne abrufen können. Als Teil der Laufwerks-Firmware sei die Malware äußerst resilient: Sie überlebe selbst eine Formatierung der Festplatte oder die Neuinstallation des Betriebssystems
Infektion von Festplatten
„Für die meisten Festplatten existieren Funktionen zum Beschreiben des Firmware-Bereichs ihrer Hardware, aber nicht zur Wiedergabe“, erläuterte Costin Raiu, Director des Global Research and Analysis Teams von Kaspersky Lab. „Das bedeutet, dass wir praktisch blind sind und mit dieser Malware infizierte Festplatten nicht erkennen können.“
Zeitgleich diente Grayfish laut dem Report auch dem Einspielen von Schadcode bei der Ausführung von Windows. Die zwischen 2008 und 2013 entwickelte, ausgefeilte Malware habe dabei bösartige Befehle in allen gängigen Windows-Versionen seit Windows XP ausführen können – einschließlich Windows 7 und 8.
„Wenn der Computer startet, kapert Grayfish die OS-Lademechanismen durch das Einfügen seines Codes in den Boot Record“, heißt es im Report. „Dies ermöglicht die Kontrolle des Windows-Starts in jedem Stadium.“
Das Resümée der Forscher: „Grayfish umfasst ein hochgradig ausgefeiltes Bootkit, das viel komplexer ist als alles, was wir bis dahin gesehen haben. Dies lässt vermuten, dass Entwickler des höchsten Kalibers hinter seiner Erschaffung stecken.“
Dass die Equation Group diese komplexe Art modifizierter Firmware erstellen konnte, sehen Fachleute als Hinweis auf die NSA als Auftraggeber. Denn das Einspielen dieser Art von Schadcode erfordert Kenntnis des Firmware-Quellcodes – den die Hersteller natürlich streng geheimhalten.
An Quellcodes dieser Art kommt die NSA aber relativ leicht: Will ein Anbieter Hardware oder Software an US-Behörden verkaufen, muss er seinen Code zunächst auf Sicherheitslücken hin auditieren lassen – und als Auditor fungiert in solchen Fällen die NSA, ist dies doch eine ihrer Hauptaufgaben.
Überwindung von Air Gaps
Ein weiteres Spionage-Tool zeugt laut dem Bericht der Russen von der hohen Kompetenz (wie auch von der NSA-Nähe) der Equation-Group-Entwickler: ein „Fanny“ genannter Wurm. Er ist konzipiert für die Infiltration von Netzwerken, die mittels „Air Gap“ vom Internet isoliert – also physisch entkoppelt – sind.
Für diesen Angriff sei ein infizierter USB-Stick mit einem versteckten Speicherbereich zum Einsatz gekommen, um Systeminformationen von den nicht mit dem Internet verbundenen Computern einzusammeln. Wird der USB-Stick später in einen mit Fanny infizierten Computer mit Internet-Zugang gesteckt, sendet dieser die Informationen aus dem abgeschotteten Netzwerk an den C&C-Server (Command and Control, Fernsteuerung gekaperter Rechner) der Angreifer.
Den Fanny-Code haben die Hacker laut dem Report im Jahr 2008 erstellt und im Nahen Osten wie auch in Asien in Umlauf gebracht. Fanny habe dabei auch zwei Zero-Day Exploits genutzt, die später bei der Entdeckung von Stuxnet wieder aufgetaucht sind. Die Verbreitung von Fanny sei über den Stuxnet LNK Exploit und USB-Sticks erfolgt, und zur Eskalation von Zugriffsrechten habe der Wurm eine Microsoft-Schwachstelle von 2009 genutzt, die ebenfalls in einer der frühen Stuxnet-Versionen Verwendung gefunden habe.
Die Kaspersky-Forscher betonen, dass die Equation-Gruppe Fanny bereits erstellt habe, bevor der Code in Stuxnet integriert war. Die Equation Group habe also schon vor den Stuxnet-Entwicklern Zugang zu den beiden Zero-Day-Schwachstellen gehabt. Dies bedeute, dass die Equation- und die Stuxnet-Mannschaft entweder identisch sind oder aber die Equation Group den Code an das Stuxnet-Team weitergegeben hat.
Neben Grayfish und Fanny haben die Hacker laut dem russischen Bericht eine Reihe weiterer Werkzeuge erstellt, darunter eine umfassende Spionageplattform mit Plug-in-Architektur, von Kaspersky „Equationdrug“ genannt. Equationdrug gebe dem Angreifer volle Kontrolle über das infizierte System, auch habe man 35 verschiedene Plug-ins zur Erweiterung sowie 18 zugehörige Treiber aufgespürt.
Neben Festplatten-Spyware und USB-Sticks zur Überwindung von Air Gaps haben die Hacker für ihre Angriffe bisweilen offenbar auch auf rustikalere Methoden gesetzt: Sie haben laut dem Report Postsendungen abgefangen, die versandten Gegenstände mit Trojanern infiziert und dann die Pakete wieder auf ihre Reise zum Empfänger geschickt. So hätten zum Beispiel mehrere Besucher einer wissenschaftlichen Konferenz danach eine CD-ROM mit den Konferenzinhalten zugeschickt bekommen. Dieses habe den Equation-Trojaner Doublefantasy enthalten.
C&C-Infrastruktur mit 300 Domains
Laut dem Kaspersky-Report unterhält die Hackergruppe eine C&C-Infrastruktur mit über 100 Servern und über 300 Domains. Die Server werden kontinentübergreifend betrieben, in den USA ebenso wie in mehreren Ländern Lateinamerikas und in Europa, darunter auch in Deutschland. Die Security-Forscher unterhalten laut eigenen Angaben Sinkholes (getarnte DNS-Server) bei einer ganzen Reihe dieser C&C-Server.
Kaspersky Lab gab die Aufdeckung der Equation Group – wie auch die unter dem Namen „Carbanak“ gesammelten Online-Banküberfälle – auf seinem Security Analyst Summit im mexikanischen Cancun bekannt. Mit der geballten Ladung dramatischer Enthüllungen arbeitet der Security-Anbieter offenbar daran, sein Image in der westlichen Welt aufzupolieren: Zwar liefert Kaspersky eine bei Consumern beliebte Antivirenlösung, doch in der Unternehmenswelt sind offenbar – insbesondere in den USA – verbreitet Bedenken aufgrund des Firmensitzes in Russland vorhanden.
Dem namensgebenden Unternehmensgründer Eugene Kaspersky werden gute Verbindungen zum russischen Staatsapparat nachgesagt. Studiert hat er unter anderem an einer Universität, zu deren Geldgebern man den KGB zählt. Und obwohl Kaspersky Lab schon diverse Vorgänge IT-basierter staatlicher Spionage und Sabotage aufgedeckt hat, ist das Unternehmen nicht unbedingt bekannt für die Enthüllung von Vorfällen, bei denen der russische Geheimdienst involviert gewesen wäre.
Nichtsdestoweniger werden die von Kaspersky Lab aufgedeckten Angriffe der Equation Group international und auch hierzulande bei vielen Unternehmen sicher Bedenken und Vorbehalte gegen das Vorgehen der US-Behörden verstärken – und sie dürften auch Misstrauen gegen IT-Equipment aus den USA schüren, wie dies nach den Snowden-Enthüllungen zu verzeichnen war (wenngleich diesmal durchaus auch Festplatten nicht-US-amerikanischer Hersteller infiziert wurden).
Denn obwohl die Equation Group – wie Kaspersky Lab darlegte – sehr zielgerichtet vorgeht (bei einem Hack wurden zum Beispiel Website-Besucher mit IP-Adressen aus Jordanien, Ägypten und der Türkei explizit ausgeschlossen): Im Hintergrund lauert immer das Risiko, dass die NSA nicht nur den Cyberkrieg gegen unbequeme Nahost-Staaten und/oder islamistische Terroristen vorbereitet (oder, je nach Definition, bereits führt), sondern zeitgleich auch Wirtschaftsspionage betreibt. Dann könnte angesichts solcher Operationen durchaus auch Besorgnis bei deutschen Unternehmen aufkommen, und nicht unbedingt nur bei solchen aus dem Rüstungssegment oder bei Betreibern kritischer Infrastrukturen.
Beunruhigend ist darüber hinaus angesichts des im Kaspersky-Report dargestellten hohen technischen Niveaus der Hacker der Gedanke, was die russischen Security-Forscher alles nicht entdeckt haben. So erwähnt der Report am Rande auch Malware für die Mac-Version von Firefox sowie für Apples Iphone. Das lässt noch sehr viel Raum für weitere Enthüllungen – sowie zunächst auch für Spekulationen und Ungewissheit, von der Gefahr ähnlicher Kompetenzen und Waffenarsenale seitens anderer Nationen oder gar krimineller Vereinigungen ganz zu schweigen.
Mehr zum Thema:
* Blog-Beitrag von Kaspersky Lab zur Equation Group (Man beachte die USA-gerechte „Death Star“-Metapher des Links in Anlehnung an die beliebten „Star Wars“-Filme!)
* Report von Kaspersky Lab
* Artikel auf Spiegel.de zu Übereinstimmungen zwischen dem Equation-Group-Report und den Snowden-Dokumenten
* Wikipedia-Eintrag über Eugene Kaspersky
* LANline-Artikel zum Thema:
„Carbanak“-Angriff: Hacker erbeuten bis zu eine Milliarde Dollar
Datenschutz will geregelt sein
Cloud-Sicherheit in der Diskussion: Schwarzrotgoldene Wolkenträume
Lesen Sie mehr zum Thema
