NSA-Lauschangriff?

Neue Cyberwaffe auf Hunderten Festplatten entdeckt

(Bild: thinkstockphotos.de)

Der IT-Sicherheitsspezialist Kaspersky hat auf Hunderten Rechnern in sensiblen Einrichtungen auf der ganzen Welt eine neue Art von Malware entdeckt, die kaum aufzuspüren und schwer zu bekämpfen ist: einen Festplatten-Trojaner, der direkt in der Firmware zur Steuerung der Datenträger versteckt ist und Daten abgreift. Viele Experten vermuten den US-Geheimdienst NSA und seine Partner als Urheber der Schadsoftware, und auch die Festplattenhersteller könnten an der Spähaktion beteiligt sein.

Eine aktive Zusammenarbeit mit dem US-Geheimdienst verneint einem Bericht des IT-Portals "The Verge" zufolge nur Western Digital. Alle anderen Hersteller – betroffen sind alle namhaften Konzerne – verweigern bislang eine Stellungnahme zu dem Kaspersky-Fund. Fakt ist dem Bericht zufolge, dass der Festplatten-Trojaner nur durch teure Reverse-Engineering-Verfahren machbar wäre, bei denen die Festplattenfirmware zerlegt und neu zusammengesetzt wird. Dazu wären Geheimdienste sicherlich in der Lage, denkbar ist allerdings auch, dass die Festplattenhersteller die Urheber der Malware durch die Übergabe ihrer Firmware unterstützt haben.

Malware überlebt sogar Neuformatierung
Den russischen Sicherheitsforschern zufolge sind Festplatten von Hitachi, Maxtor, Seagate, Samsung, Toshiba und Western Digital betroffen. Die Abhör-Software verbirgt sich in der Firmware, also der Steuerungssoftware der Festplatten. Dadurch ist sie für den Virenschutz des Betriebssystems nahezu unentdeckbar, eine Entfernung ist selbst durch die Neuformatierung und Neupartitionierung einer Festplatte nicht möglich.

(Bild: Kaspersky)

Der Kaspersky-Fund ähnelt verdächtig jenen mächtigen NSA-Werkzeugen, deren theoretische Existenz durch Dokumente des Ex-Geheimdienstlers Edward Snowden bereits angedeutet wurde. Deshalb mutmaßen viele Experten, dass die Festplatten-Malware – ihre Urheber nennt Kaspersky die "Equation Group" – von staatlichen Stellen stammt. Hinzu kommt, dass die Vorgehensweise der "Equation Group" jener ähnelt, die beim "Stuxnet"-Wurm beobachtet wurde, mit dem das iranische Atomprogramm sabotiert worden war. Experten hatten bei "Stuxnet" die USA und Israel als Urheber vermutet.

Viele Opfer im Iran, China, Indien und Russland
Der von Kaspersky entdeckte Festplatten-Trojaner konnte vom Sicherheitsforscher bereits auf mehreren Hundert Rechnern auf der ganzen Welt nachgewiesen werden. Mindestens 500 Opfer aus 30 Ländern wurden bislang gezählt, betroffen könnten aber Zehntausende sein. Infiziert wurden Organisationen aus dem staatlichen Bereich, aber auch Unternehmen aus den Branchen Telekommunikation, Luftfahrt, Energiewirtschaft, Nuklearforschung, Nanotechnologie, Finanzwesen und Transport. Militärische Ziele, Massenmedien und islamische Aktivisten stehen ebenfalls auf der Liste der Angriffsziele.

Kasperskys Ausbreitungsübersicht (siehe oben) zeigt anschaulich, in welchen Ländern besonders viele Opfer der "Equation Group" zu finden sind. Mit Abstand die meisten Infektionen wurden demnach im Iran, Russland, Pakistan, Afghanistan, Indien, China, Syrien und Mali beobachtet. Viele Infektionen wurden auch im Libanon, im Jemen, den Vereinigten Arabischen Emiraten, Kenia, England, Libyen, Mexiko, Katar und Ägypten beobachtet. Als gering wird die Infektionsrate in 24 weiteren Ländern beschrieben – auch in den USA selbst, wo offenbar unter anderem islamische Aktivisten mit der Festplatten-Malware abgehört werden.