Fr, 24. November 2017

NSA-Lauschangriff?

17.02.2015 10:13

Neue Cyberwaffe auf Hunderten Festplatten entdeckt

Der IT-Sicherheitsspezialist Kaspersky hat auf Hunderten Rechnern in sensiblen Einrichtungen auf der ganzen Welt eine neue Art von Malware entdeckt, die kaum aufzuspüren und schwer zu bekämpfen ist: einen Festplatten-Trojaner, der direkt in der Firmware zur Steuerung der Datenträger versteckt ist und Daten abgreift. Viele Experten vermuten den US-Geheimdienst NSA und seine Partner als Urheber der Schadsoftware, und auch die Festplattenhersteller könnten an der Spähaktion beteiligt sein.

Eine aktive Zusammenarbeit mit dem US-Geheimdienst verneint einem Bericht des IT-Portals "The Verge" zufolge nur Western Digital. Alle anderen Hersteller – betroffen sind alle namhaften Konzerne – verweigern bislang eine Stellungnahme zu dem Kaspersky-Fund. Fakt ist dem Bericht zufolge, dass der Festplatten-Trojaner nur durch teure Reverse-Engineering-Verfahren machbar wäre, bei denen die Festplattenfirmware zerlegt und neu zusammengesetzt wird. Dazu wären Geheimdienste sicherlich in der Lage, denkbar ist allerdings auch, dass die Festplattenhersteller die Urheber der Malware durch die Übergabe ihrer Firmware unterstützt haben.

Malware überlebt sogar Neuformatierung
Den russischen Sicherheitsforschern zufolge sind Festplatten von Hitachi, Maxtor, Seagate, Samsung, Toshiba und Western Digital betroffen. Die Abhör-Software verbirgt sich in der Firmware, also der Steuerungssoftware der Festplatten. Dadurch ist sie für den Virenschutz des Betriebssystems nahezu unentdeckbar, eine Entfernung ist selbst durch die Neuformatierung und Neupartitionierung einer Festplatte nicht möglich.

Der Kaspersky-Fund ähnelt verdächtig jenen mächtigen NSA-Werkzeugen, deren theoretische Existenz durch Dokumente des Ex-Geheimdienstlers Edward Snowden bereits angedeutet wurde. Deshalb mutmaßen viele Experten, dass die Festplatten-Malware – ihre Urheber nennt Kaspersky die "Equation Group" – von staatlichen Stellen stammt. Hinzu kommt, dass die Vorgehensweise der "Equation Group" jener ähnelt, die beim "Stuxnet"-Wurm beobachtet wurde, mit dem das iranische Atomprogramm sabotiert worden war. Experten hatten bei "Stuxnet" die USA und Israel als Urheber vermutet.

Viele Opfer im Iran, China, Indien und Russland
Der von Kaspersky entdeckte Festplatten-Trojaner konnte vom Sicherheitsforscher bereits auf mehreren Hundert Rechnern auf der ganzen Welt nachgewiesen werden. Mindestens 500 Opfer aus 30 Ländern wurden bislang gezählt, betroffen könnten aber Zehntausende sein. Infiziert wurden Organisationen aus dem staatlichen Bereich, aber auch Unternehmen aus den Branchen Telekommunikation, Luftfahrt, Energiewirtschaft, Nuklearforschung, Nanotechnologie, Finanzwesen und Transport. Militärische Ziele, Massenmedien und islamische Aktivisten stehen ebenfalls auf der Liste der Angriffsziele.

Kasperskys Ausbreitungsübersicht (siehe oben) zeigt anschaulich, in welchen Ländern besonders viele Opfer der "Equation Group" zu finden sind. Mit Abstand die meisten Infektionen wurden demnach im Iran, Russland, Pakistan, Afghanistan, Indien, China, Syrien und Mali beobachtet. Viele Infektionen wurden auch im Libanon, im Jemen, den Vereinigten Arabischen Emiraten, Kenia, England, Libyen, Mexiko, Katar und Ägypten beobachtet. Als gering wird die Infektionsrate in 24 weiteren Ländern beschrieben – auch in den USA selbst, wo offenbar unter anderem islamische Aktivisten mit der Festplatten-Malware abgehört werden.

Das könnte Sie auch interessieren
Kommentar schreiben

Sie haben einen themenrelevanten Kommentar? Dann schreiben Sie hier Ihr Storyposting! Sie möchten mit anderen Usern Meinungen austauschen oder länger über ein Thema oder eine Story diskutieren? Dafür steht Ihnen jederzeit unser krone.at-Forum, eines der größten Internetforen Österreichs, zur Verfügung. Sowohl im Forum als auch bei Storypostings bitten wir Sie, unsere AGB und die Netiquette einzuhalten!
Diese Kommentarfunktion wird prä-moderiert. Eingehende Beiträge werden zunächst geprüft und anschließend veröffentlicht.

Kommentar schreiben
500 Zeichen frei
Kommentare
324

User-Beiträge geben nicht notwendigerweise die Meinung des Betreibers/der Redaktion bzw. von Krone Multimedia (KMM) wieder. In diesem Sinne distanziert sich die Redaktion/der Betreiber von den Inhalten in diesem Diskussionsforum. KMM behält sich insbesondere vor, gegen geltendes Recht verstoßende, den guten Sitten oder der Netiquette widersprechende bzw. dem Ansehen von KMM zuwiderlaufende Beiträge zu löschen, diesbezüglichen Schadenersatz gegenüber dem betreffenden User geltend zu machen, die Nutzer-Daten zu Zwecken der Rechtsverfolgung zu verwenden und strafrechtlich relevante Beiträge zur Anzeige zu bringen (siehe auch AGB).

Für den Newsletter anmelden