Angesichts der – sagen wir mal "dezenten" – Defizite in der Passwortstrategie so mancher Hacking-Team-Mitarbeiter ist es nur all zu verlockend, die technischen Fähigkeiten des italienischen Malware-Herstellers mit Spott abzutun. Doch dies wäre verfehlt, wie nun ein weiteres Fundstück aus dem internen Datenmaterial des Unternehmens belegt.

Rootkit

Hat Hacking Team doch laut einem aktuellen Bericht von Trend Micro UEFI/BIOS-Rootkits genutzt, um die eigene Spionagesoftware dauerhaft auf Zielrechnern unterzubringen. Die Einnistung in der Rechner-Firmware hat gegenüber klassischen Rootkits einen entscheidenden Vorteil: Sie übersteht auch die Neuinstallation des Systems.

Premiere

Dass UEFI-Rootkits möglich sind, war bereits seit längerem bekannt. Der aktuelle Fall ist aber der erste dokumentierte, wo ein Schadsoftwarehersteller tatsächlich eine solche Methode aktiv gegen seine Ziele einsetzt.

Details

Durchaus interessant sind auch die Details zu Ablauf und Funktionsweise so eines Angriffs. So spricht die Hacking-Team-Beschreibung davon, dass ein physischer Zugriff auf die Zielrechner vorhanden sein muss. Der Angreifer muss dann einen Dump des BIOS vornehmen, dieses mit einem Patch verändern und das Ergebnis wieder in den Rechner zurückspielen. Trend Micro verweist allerdings darauf, dass man nicht ausschließen könne, dass es auch spätere Versionen der Software gebe, die diese Schritte ohne physischen Zugriff vornehmen können.

Neuinfektion

Ist das Rootkit einmal installiert, überprüft es bei jedem Neustart, ob eine gewisse Datei im User-Verzeichnis von Windows vorhanden ist – (\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\6To_60S7K_FU06yjEhjh5dpFw96549UU). Dahinter verbirgt sich natürlich die eigentliche Remote Control Software. Ist dies nicht der Fall, wird das Betriebssystem neu infiziert. Um dies zu ermöglichen, hat Hacking Team übrigens sogar einen eigenen NTFS-Treiber für UEFI geschrieben. Der Ablauf des Hacks bedeutet wiederum, dass all dies nur mit Windows-Rechnern funktioniert – auch wenn eine Anpassung für andere Betriebssysteme trival erscheint.

Eigener Treiber

Die Liste jener Geräte, bei denen das UEFI-Rootkit funktioniert – Dell Latitude 6320, Dell Precision T1600, Asus X550C und Asus F550C, legt nahe, dass die Software für einen konkreten Auftrag entwickelt wurde. Dabei gilt zudem einmal mehr der Hinweis, dass nicht gesagt ist, dass die Liste mittlerweile noch aktuell ist.

Schutzmaßnahmen

Angesichts dieser Erkenntnisse rät Trend Micro künftig auch ein verstärktes Augenmerk auf die Sicherheit von UEFI / BIOS zu legen. So würden etwa sowohl die Aktivierung von UEFI Secure Boot als auch ein Passwort-Schutz entsprechende Angriff unmöglich machen. Und natürlich sollten auch regelmäßig entsprechende Updates eingespielt werden – vor allem wenn diese sicherheitsrelevant sind. (apo, 15.7.2015)