„MoonBounce“

Spyware aus China zwingt zum Motherboard-Tausch

Bei einer "MoonBounce"-Infektion hilft oft nur der Mainboard-Tausch.

(Bild: flickr.com/mikebabcock)

IT-Sicherheitsforscher des russischen Kaspersky-Konzerns haben neue Spionage-Software entdeckt, die man nach einer Infektion kaum mehr loswird. „MoonBounce“ nistet sich derart tief im System ein, dass oft nur mehr der Austausch des Motherboards oder ein PC-Neukauf hilft.

Bei „MoonBounce“ handelt es sich um ein Bootkit, das sich nicht in den vom Betriebssystem genutzten Bereichen der Festplatte oder SSD einnistet, sondern den SPI-Fehlerspeicher des Motherboards befällt. Hat sich der Schadcode dort festgesetzt, hat der Nutzer ein massives Problem.

Normalerweise befallen solche Bootkits die sogenannte EFI-Systempartition der Festplatte oder SSD, analysiert Kaspersky. Von dort sind sie auch bereits schwer zu entfernen, in vielen Fällen hilft nur ein Austausch des Speichermediums.

In vielen Fällen hilft nur Mainboard-Tausch
Weil sich „MoonBounce“ aber direkt am Motherboard einnistet, muss bei einer Infektion selbiges getauscht werden. Die Alternative ist es, den SPI-Fehlerspeicher neu zu bespielen, was aber nur IT-Profis zustande bringen. Normalverbraucher müssen meist tauschen.

Damit kostet eine Infektion - je nach Mainboard - Hunderte Euro. Wer das Motherboard nicht tauschen kann, etwa weil es sich um ein Notebook handelt, bei dem ein teurer Profi ans Werk müsste und womöglich gar kein Ersatzteil zu bekommen ist, wird den ganzen PC tauschen müssen.

Laut Kaspersky handelt es sich um den erst dritten Computerschädling überhaupt, der diese Taktik wählt. Die Fortschrittlichkeit der Malware lasse darauf schließen, dass diese nicht von einem einzelnen Hacker oder einer Cybercrime-Bande programmiert wurde.

Staatliche Hacker unter Verdacht
Wahrscheinlicher sei, dass „MoonBounce“, ähnlich wie etwa der die EFI-Systempartition befallende Staatstrojaner FinSpy, im staatlichen Auftrag entwickelt wurde - etwa für Industriespionage. Dazu würde auch passen, dass Kaspersky „MoonBounce“ bislang nur einmalig nachweisen konnte, das Bootkit dürfte also äußerst gezielt eingesetzt werden.

Die Aktivitäten der Hackergruppe APT41 dürften in China ihren Ursprung haben, vermuten IT-Security-Anbieter.

(Bild: stock.adobe.com)

Unter Verdacht hat Kaspersky eine Hackergruppe aus China, die als APT41 bezeichnet wird. Laut der IT-Security-Firma Fireeye zielen die Angriffe vor allem auf Firmen aus dem Gesundheits-, Telekommunikations- und Hightech-Bereich ab. Auch Universitäten, Tourismus- und Medienunternehmen wurden bereits Ziel. Fireeye geht davon aus, dass APT41 neben Industriespionage auch Lauschangriffe auf hochrangige Einzelpersonen durchführt.