Unlöschbar: Kaspersky findet Firmware-Bootkit in freier Wildbahn

Spionageprogramm mit Firmware-Bootkit

06. Oktober 2020, 12:30 Uhr   |  Jörg Schröper

Spionageprogramm mit Firmware-Bootkit
© Wolfgang Traub

Die Forscher von Kaspersky haben nach eigenen Angaben eine Advanced-Persistent-Threat-Spionagekampagne aufgedeckt, bei der ein Firmware-Bootkit zum Einsatz kommt. Die Malware wurde von der UEFI/BIOS-Scan-Technik des Herstellers erkannt, die auch bis dato unbekannte Bedrohungen melden kann. Die Scan-Technik identifizierte die bisher unbekannte Malware im Unified Extensible Firmware Interface (UEFI), einem wesentlichen Bestandteil jedes modernen Computers. Dies mache es sehr schwierig, infizierte Geräte zu erkennen und die Malware von diesen zu entfernen. Der UEFI-Bootkit der Malware ist eine individualisierte Version des 2015 geleakten Bootkits von Hacking Team.

Die UEFI-Firmware ist ein wesentlicher Bestandteil eines Rechners, der vor dem Betriebssystem und allen darin installierten Programmen abläuft. Enthält die UEFI-Firmware schädlichen Code, startet dieser noch vor dem Betriebssystem, sodass die Sicherheitslösungen ihn möglicherweise nicht erkennen können. Dadurch – und weil sich die Firmware auf einem von der Festplatte getrennten Flash-Chip befindet –  sind Angriffe gegen UEFI äußerst hartnäckig und schwer zu entfernen. Eine Infektion der Firmware bedeutet im Wesentlichen, dass unabhängig davon, wie oft das Betriebssystem neu installiert wurde, die im Bootkit enthaltene Malware auf dem Gerät bleibt.

Die Kaspersky-Forscher fanden eine solche UEFI-Malware im Rahmen einer Kampagne, in der Varianten eines komplexen, mehrstufigen modularen Frameworks mit dem Namen MosaicRegressor auftraten. Das Framework diente zur Spionage und Datenerfassung, wobei die UEFI-Malware ein Teil der Maßnahmen war, um sich auf dem System zu verankern.

Die UEFI-Bootkit-Komponenten basieren laut den Experten auf dem von Hacking-Team entwickelten Vector-EDK-Bootkit, dessen Quellcode im Jahr 2015 geleakt wurde. Dies ermöglichte es den Angreifern wahrscheinlich, ihre eigene Software mit geringem Entwicklungsaufwand und Entdeckungsrisiko zu erstellen. Die Angriffe kamen mit Hilfe des Firmware Scanners an Licht, der seit Anfang 2019 in Kaspersky-Produkten enthalten ist. Eine solche Technik habe man speziell dazu entwickelt, Bedrohungen, die sich im ROM-BIOS verstecken, zu erkennen – einschließlich UEFI-Firmware-Images, so die Experten.

Es war jedoch offenbar nicht möglich, den genauen Infektionsvektor zu ermitteln, der es den Angreifern ermöglichte, die ursprüngliche UEFI-Firmware zu überschreiben. Die Kaspersky-Forscher konnten jedoch recherchieren, wie dies auf der Grundlage von Informationen über VectorEDK aus durchgesickerten Hacking-Team-Dokumenten erfolgen könnte. Eine Möglichkeit wäre, dass eine Infektion durch den physischen Zugriff auf den Computer des Opfers möglich war. Dies könnte mittels eines bootfähigen USB-Stick passiert sein, der ein spezielles Update-Dienstprogramm enthielt. Die gepatchte Firmware hätte dann die Installation eines Trojaner-Downloaders ermöglicht.

In den meisten Fällen gelangten die MosaicRegressor-Komponenten jedoch mit weitaus weniger ausgefeilten Maßnahmen zum Opfer – beispielsweise über Spear-Phishing, bei dem ein Dropper in einem Archiv mit einem Decoy-File versteckt wurde. Die Struktur des Frameworks mit mehreren Modulen ermöglichte es den Angreifern, das umfassendere Framework vor der Analyse zu verbergen und Komponenten nur bei Bedarf auf Zielcomputern bereitzustellen. Die ursprünglich auf dem infizierten Gerät installierte Malware ist ein Trojan-Downloader. Dabei handelt es sich um ein Programm, das zusätzlichen Payload und weitere Malware nachladen kann. Abhängig vom Payload kann die Malware beliebige Dateien von und zu beliebigen URLs herunterladen oder hochladen sowie Informationen vom Zielcomputer sammeln.

MosaicRegressor kam bei einer Reihe zielgerichteter Angriffe gegen Diplomaten und Mitglieder von NGOs in Afrika, Asien und Europa zum Einsatz. Einige der Angriffe umfassten Spear-Phishing-Dokumente in russischer Sprache, andere bringt man mit Nordkorea in Verbindung. Die Kampagne konnte die Forscher bisher nicht mit Sicherheit einem bekannten APT-Akteur zuordnen.

Weitere Informationen stehen unter www.kaspersky.de/enterprise-security/endpoint-detection-response-edr oder www.kaspersky.de/small-to-medium-business-security zur Verfügung.

Auf Facebook teilenAuf Twitter teilenAuf Linkedin teilenVia Mail teilen

Verwandte Artikel

Kaspersky Labs GmbH, Kaspersky

Kaspersky Lab