Kaspersky warnt vor Festplatten-Virus
Angriff vermutlich aus den USA
Moskau (LiZ). Die russische IT-Sicherheitsfirma Kaspersky hat eine äußerst raffinierte Schad-Software entdeckt, die nicht durch normale Viren-Scanner zu erkennen sei. Betroffen sind die Festplatten namhafter Produzenten wie Samsung, Western Digital, Seagate, Maxtor, Toshiba und Hitachi.
Offenbar haben sich die von Kaspersky als "Equation Group" bezeichneten ProgrammiererInnen Backdoors zur Firmware von rund einem Dutzend Hersteller weit verbreiteter Computer-Festplatten verschafft. Dies ist kaum möglich ohne Zugriff auf den proprietären Quell-Code der Firmware der Festplatten-Produzenten.
Die entdeckte Schad-Software kann so die Festplatten infizieren und einen unsichtbaren Bereich einrichten, in dem Daten zum späteren Abruf - etwa bei einer Verbindung zum Internet oder zu einem USB-Stick - abgelegt werden. Dieser Bereich kann infolge der Manipulation der Firmware nicht einmal durch Formatieren von der Festplatte gelöscht werden.
Kasperskys ExpertInnen haben analysiert, daß der neu entdeckte Festplatten-Virus auf ähnliche Weise Schwachstellen ausnützt, wie dies bei der im Jahr 2010 entdeckten Schad-Software Stuxnet der Fall ist (siehe unsere Artikel v. 17.09.19, v. 1.06.12. Dabei wird eine Reihe von nicht-dokumentierten ATA-Befehlen genutzt. Als Urheber von Stuxnet werden US-Geheimdienste vermutet. Kaspersky stellte außerdem fest, daß der Festplatten-Virus sowohl ein Formatieren als auch eine Neuinstallation des Betriebssystems überlebt. Offenbar wurde der Festplatten-Virus bereits seit 2001 bei Tausenden Angriffen in über 30 Staaten eingesetzt. Besonders viele Angriffe gebe es im Iran und in Rußland.
Unter den Ziel-Objekten befanden sich laut Kaspersky Regierungsbehörden, Institutionen aus den Bereichen Luft- und Raumfahrt, Energie, Nuklearforschung sowie Medien, Finanzinstitute und Unternehmen, die Verschlüsselungs-Technologien entwickeln. Sowohl diese Ziel-Objekte als auch die Auswahl der Staaten deutet laut Kaspersky auf einen US-Geheimdienst als Urheber des Festplatten-Virus. Daß der US-Geheimdienst NSA sich intern damit gebrüstet hat, Zugriff auf die Firmware von Festplatten zu haben, ist seit einem Vortrag von Jacob Appelbaum beim 30C3 im Jahr 2013 bekannt.
Der Festplatten-Virus läuft laut Kaspersky vor allem auf Windows-Rechnern. Es gebe allerdings auch Hinweise auf andere befallene Betriebssysteme wie etwa Apples OS X. Kaspersky äußert auch den begründeten Verdacht, daß iPhones infiziert werden können, da deren NutzerInnen von einem PHP-Skript auf eine Seite mit einem Exploit gelotst würden.
Unklar ist, wie die ProgrammiererInnen der "Equation Group" Zugang zum Quell-Code von Festplatten-Firmware erlangten. Steve Shattuck, Sprecher des Herstellers Western Digital erklärte, der Konzern habe keinen US-Geheimdiensten Zugang zu Quell-Codes gewährt. Die NSA verweigerte gegenüber sämtlichen Medien eine Stellungnahme zur aktuellen Warnung von Kaspersky.
Anmerkungen
Siehe auch unsere Artikel:
Trojaner Havex kann AKW fernsteuern
und Super-GAU auslösen (27.06.14)
Trojaner in japanischem AKW
Schneller Brüter Monju befallen (17.01.14)
Cyber War gegen Iran
Obama und der Stuxnet-Wurm (1.06.12)
Neue Gefahr im Atomkraftwerk
Stuxnet-Wurm kann Industrie-Anlagen steuern (17.09.10)