Eine weltweit besonders raffinierte Cyber-Spionage-Methode wurde vom Sicherheitsunternehmen Kaspersky entdeckt.
Und diesmal ist es wohl eine Nummer von galaktischem Ausmaß. Berichtet wird vom "Todesstern der Malware-Galaxy" und einem Rendezvous mit dem "Gott der Cyber-Spionage".
Die Rede ist von einer Schad-Software-Organisation namens "Equation Group", die bereits 2002 erste Malware-Spuren hinterlassen haben soll und die inzwischen als eine der fortgeschrittensten Cyber-Attacken-Gruppe der Welt eingestuft wird.
Laut Kaspersky hat die Gruppe seit 2001 weltweit geschätzt tausende oder gar zehntausende Opfer erfolgreich mit Schad-Software infiziert. Darunter Regierungen, Kommunikationsgesellschaften, Militär, Banken und zig weitere Unternehmensbereiche.
Equation hat zig Schad-Tools- und Mechanismen entwickelt und dabei unter anderem alle bislang bekannten Verbreitungsmethoden wie manipulierte Datenträger genutzt. Zu den meistinfizierten Ländern zählen Iran, Russland und Pakistan, Deutschland wird bei den Ländern mit geringer Infektionsrate gelistet.
Als besonders mysteriös beschreibt Kaspersky ein Dingsbums mit Bezeichnung "nls_933w.dll". Dieses "Modul" enthält Routinen zur Manipulation der Firmware von Festplatten praktisch aller gängigen Hersteller. Weiter ist es mit der DLL (Programm-Routinen-Sammlung) möglich, versteckte Sektoren einer Platte zu nutzen.
Die Schad-Software wird in der Firmeware der Platten eingenistet, übersteht also auch übliche Formatierungen und Löschungen.
Kaspersky hat ein sehr ausführliches PDF veröffentlicht in dem alle Informationen zu Equation zusammengefasst sind. Die Details zur Manipulation von Festplatten finden sich in Abschnitt 10 des Dokuments. Soweit bislang bekannt, wird die "Festplatten-Methode" von den Cyber-Kriminellen bislang nur sehr selten eingesetzt. Diese fortschrittlichste Angriffsvariante setzt Equation wohl nur bei sehr kostbaren Opfern ein.
Irgendjemand hier, den das überrascht? Selbstverständlich lässt sich der "Firmware-Speicher" von Datenträgern bestens missbrauchen um Schad-Software zu verstecken. Seit bekannt ist, dass selbst der lumpige Controller-Chip in USB-Geräten manipuliert werden kann, besteht eigentlich kein Zweifel mehr, dass eigentlich jedes "digitale" Dingsbums infizierbar ist, das irgendwie eine Schnittstelle nach draußen hat (alte Digital-Armbanduhren dürften also unkritisch sein).
In den meisten Meldungen zum Vorfall wird gemunkelt, dass die "Equation Group" eng oder unmittelbar mit der US-Schnüffelorganisation NSA zusammenarbeitet. Der Verdacht begründet sich wohl darin, weil ähnliche Methoden verwendet werden, die auch im Rahmen der Snowden-Enthüllungen entdeckt wurden. Verwiesen wird unter anderem auf ein vom Spiegel veröffentlichtes Geheimdokument (PDF) in dem die NSA intern ihre Absicht erklärt, Hardware für Angriffe zu manipulieren. Einen direkten Zusammenhang zwischen NSA und Equation beweist das aber nicht.