17.02.2015, 11:24 Uhr

Riesiger Cyber-Spionage-Ring entdeckt

Der IT-Security-Spezialist Kaspersky Lab hat einen gigantischen Cyper-Spionage-Ring aufgedeckt. Die «Equation Group» soll auch Stuxnet und Flame Pate gestanden haben.
Kaspersky Lab hat eine Cyber-Spionage-Gruppe enttarnt, die hinsichtlich technischer Komplexität und Raffinesse der verwendeten Mittel alles bisher Bekannte in den Schatten stellt. Die so genannte «Equation Group» sei seit fast zwei Jahrzehnten aktiv. Laut Kaspersky ist die Equation Group in annähernd all ihren Aktivitäten einzigartig: Sie nutzen Werkzeuge, die sehr kompliziert und kostenintensiv zu entwickeln sind. Damit infizieren sie ihre Opfer, rufen Daten ab und verbergen ihre Aktionen in einer aussergewöhnlich professionellen Weise. Darüber hinaus nutzen sie auch klassische Spionage-Taktiken, um böswilligen Code bei ihren Opfern zu platzieren.
Zur Infektion setzt die Gruppe eine Reihe von «Implantaten» (Trojanern) ein, welche Kaspersky «EquationLaser», «EqationDrug», «DoubleFantasy», «TripleFantasy», «Fanny» und «GrayFish» getauft hat. Zweifelsohne existierten noch weitere Implantate, vermuten die Virenjäger. Nächste Seite: Angriff auf Festplatten-Firmware

Angriff auf Festplatten-Firmware

Das wohl stärkste Werkzeug der Equation Group greift die Firmware von Festplatten an und programmiert diese neu. Es sei rund ein Dutzend Hersteller betroffen, so Kaspersky, darunter namhafte Firmen wie Seagate Technology, Western Digital Technologies, Hitachi, Samsung Electronics und Toshiba. Dieses Ändern der Systemsoftware einer Harddisk habe schwerwiegende Folgen, so der Security-Spezialist. So werde die Malware dadurch enorm widerstandsfähig und überlebe selbst eine Neuformatierung der Festplatte oder eine Neuinstallation des Betriebssystems. Sobald die Malware in die Firmware gelangt, könne sie sich selbst für immer wieder herstellen und das Löschen bestimmter Festplattenbereiche verhindern.
«Ein weiterer gefährlicher Punkt: Wird eine Festplatte mit diesem gefährlichen Code infiziert, ist es unmöglich die Firmware zu scannen», so Costin Raiu, Director des Global Research and Analysis Team bei Kaspersky Lab. «Einfacher gesagt: für die meisten Festplatten existieren Funktionen zum Beschreiben des Firmware-Bereichs ihrer Hardware, aber nicht zur Wiedergabe. Das bedeutet, dass wir praktisch blind sind und mit dieser Malware infizierte Festplatten nicht erkennen können.» 

Spionage-Lager auf der eigenen Harddisk

Doch damit nicht genug: die Möglichkeit, einen unsichtbaren und dauerhaften Bereich auf der Festplatte zu schaffen, werde auch genutzt, um herausgefilterte Informationen zu speichern, die später von den Angreifern abgerufen werden könnten, berichtet Kaspersky weiter. Zudem könne dies in einigen Fällen beim Knacken der Verschlüsselung hilfreich sein.
«Wenn man sich vergegenwärtigt, dass deren GrayFish-Implantat ab dem Hochfahren eines Systems aktiv ist, kann man verstehen, dass die Angreifer in der Lage sind, das Verschlüsselungspasswort zu entwenden und es in ihrem versteckten Bereich zu speichern», so Raiu weiter. Nächste Seite: Überwindung des «Air Gap»

Auch ohne Netz aktiv

Der Wurm «Fanny» sticht ebenfalls unter allen Angriffsmöglichkeiten der Equation Group heraus. Dessen Hauptzweck sei es, sogenannte «Air Gapped»-Netzwerke abzubilden – also die Topologie eines Netzwerkes, das nicht über eine Leitung erreichbar ist – zu erfassen. Zu diesem Zweck werde ein bislang einmaliger USB-basierter «Command & Control»-Mechanismus eingesetzt, der es erlaubt, Daten aus nicht verbundenen Netzwerken hinein- und hinauszubringen, weiss Kaspersky.
Und so funktionierts: Ein infizierter USB-Stick mit einem versteckten Speicherbereich sammelt System-Informationen der nicht mit dem Internet verbundenen Rechner. Sobald der USB-Stick in einen von Fanny infizierten und mit dem Internet verbundenen Computer gesteckt wird, sendet er diese Informationen an den «Command & Control»-Server. Darauf kann dieser Befehle verschicken, welche wiederum auf dem USB-Stick gespeichert werden. Wird dieser erneut im Offline-Netz - etwa einer abgeschotteten Industrieanlage - verwendet, führt Fanny den Befehl dann aus. Nächste Seite: Stuxnet und Flame als Ausgeburten der Equation Group

Verwandtschaft mit Stuxnet und Flame

Laut Kaspersky gibt es zuverlässige Hinweise darauf, dass die Equation Group mit anderen einflussreichen Gruppen wie beispielsweise mit den Betreibern von Stuxnet und Flame interagiert – wobei die Equation Group offenbar eine führende Position inne hatte. So hatte die Gruppe Zugang zu Zero-Day-Schwachstellen, bevor diese von Stuxnet und Flame genutzt wurden.

Tausende prominente Opfer weltweit

Seit dem Jahr 2001 habe die Equation-Gruppe tausende, vermutlich zehntausende, Opfer in über 30 Ländern - unter anderem auch aus der Schweiz - weltweit infiziert. Zu den betroffenen Bereichen zählen Regierungs- und diplomatische Institutionen, Telekommunikation, Luft- und Raumfahrt, Energie, Nuklearforschung, Öl- und Gasindustrie, Militär, Nanotechnologie, islamische Aktivisten und Gelehrte, Massenmedien, Transport, Finanzinstitute sowie Unternehmen, die Verschlüsselungstechnologien entwickeln.



Das könnte Sie auch interessieren