Spionage: Neue Malware manipuliert die Firmware von Festplatten
Kaspersky hat Malware der Spionagegruppe „Equation Group“ entdeckt, die die Festplatte des Opfers umprogrammiert. Diese Art der Schadsoftware, die sich in die Firmware einnistet, ist kaum zu finden und praktisch nicht zu entfernen.
Die Programme, die die Firmware einer Festplatte manipulieren, hören auf die Namen Equationdrug und Greyfish. Die Spionagegruppe macht sich die von Herstellern vorgesehene Möglichkeit der Aktualisierung der Firmware auf dem Controller der Festplatte zunutze, die normalerweise, wie etwa von Samsung zum Bereinigen von Fehlern genutzt wird. Die Hackergruppe ist in der Lage, eine eigene, modifizierte Firmware auf die Festplatte zu schreiben. Derzeit sind laut Kaspersky in der vierten Version der Malware zwölf verschiedene „Kategorien“ (Hersteller/Variationen) betroffen. Vertreten sind sowohl klassische Festplatten als auch SSDs von zahlreichen Herstellern.
Die eigentliche Funktion der veränderten Firmware ist noch ungeklärt. Durch den direkten Zugriff auf die Festplatte erhält die Malware allerdings die Chance, Daten auf speziell versteckte Bereiche der Festplatte zu schreiben und zu lesen. Diese Bereiche überstehen laut Kaspersky selbst eine Formatierung des Laufwerks, zudem würde die infizierte Firmware eine neuerliche Infektion des Systems von Grund auf ermöglichen. Da die Überprüfung und Neuprogrammierung der Firmware auf die bestehende Firmware angewiesen ist, ist es nicht möglich, die Infektion wirkungsvoll zu beseitigen. Kaspersky Labs empfiehlt deshalb den kompletten Austausch der Festplatte, um die Malware zu beseitigen.
Es ist jedoch nicht davon auszugehen, dass diese von Kaspersky Lab als „ultimative Infektion“ bezeichnete Malware zur gängigen Praxis wird. Die Entwicklung einer alternative Firmware für Festplatten sei zu teuer, die Programmierung kann nur für einzelne Modelle erfolgen und ist aufwendiger als etwa die Programmierung eines Windows-Programms. Zudem sind interne Dokumente der Hersteller notwendig. Die modifizierte Firmware darf zudem den regulären Betrieb des Massenspeichers nicht stören, solch eine Aufgabe erfordere „Monate der Entwicklung und Millioneninvestitionen“. Die schiere Anzahl der veröffentlichten Festplatten und Firmwares übersteige die Möglichkeiten jeder Hackergruppe. Das Risiko für den durchschnittlichen Nutzer sei also äußert gering.
Weltweit konnten bislang rund 500 Fälle von modifizierten Festplatten in über 30 Ländern aufgespürt werden, wobei insbesondere diplomatische, militärische und infrastrukturelle Ziele im Iran, Russland, Pakistan und Afghanistan betroffen sind.