Die vor kurzem von Kaspersky Lab veröffentlichte Forschungsarbeit zu den Aktivitäten der Cyber-Spionagegruppe Equation beschreibt einige technische Wunderwerke. Diese alte und machtvolle Hacker-Gruppe hat eine komplexe Reihe schädlicher „Implantate“ entwickelt, doch die interessanteste Entdeckung ist die Fähigkeit des Schadprogramms, die Festplatten der Opfer umzuprogrammieren, so dass die „Implantate“ unsichtbar und fast unzerstörbar werden.
Suite of Sophisticated Nation-State Attack Tools Found With Connection to Stuxnet – http://t.co/FsaH0Jzq5O
— Kim Zetter (@KimZetter) February 16, 2015
Das ist eine der schon lange erwarteten Horrorgeschichten der Computersicherheit. Ein Virus, gegen den nichts gemacht werden kann und der für immer in der Computer-Hardware bleibt – jahrzehntelang galt das als urbane Legende, doch es scheint, dass jemand Millionen von Dollar ausgegeben hat, um genau das wahr werden zu lassen. Manche Medienberichte zur Equation-Geschichte gehen sogar so weit, zu sagen, dass es den Hackern möglich sein, „auf dem Großteil der weltweiten Computer alles mitzuhören„. Wir wollen die Panik aber etwas mindern, denn diese Möglichkeit wird so selten bleiben wie Pandas, die die Straße überqueren.
Lassen Sie uns damit beginnen, zu erklären, was die „Umprogrammierung der Festplatten-Firmware“ bedeutet. Eine Festplatte besteht aus zwei sehr wichtigen Komponenten: Einem Speichermedium (bei klassischen Festplatten sind das Magnetscheiben, bei SSDs handelt es sich hier um Flash-Speicher) und einem Mikrochip, der das Lesen und Schreiben auf der Festplatte kontrolliert, aber auch viele Service-Prozesse überwacht, etwa die Fehler-Entdeckung und -Korrektur. Diese Service-Prozesse sind zahlreich vorhanden und recht komplex, so dass ein Chip sein eigenes, hochentwickeltes Programm ausführt und technisch gesehen selbst ein kleiner Computer ist. Das Programm des Chips nennt man Firmware und der Festplattenhersteller aktualisiert diese Firmware hin und wieder, um Fehler auszubessern oder die Leistung der Festplatte zu verbessern.
Und dieser Mechanismus wird von der Equation-Gruppe ausgenutzt: Sie kann ihre eigene Firmware auf Festplatten von 12 verschiedenen „Kategorien“ (Hersteller/Variationen) herunterladen. Die Funktionen dieser modifizierten Firmware sind derzeit unbekannt, doch das Schadprogramm auf dem Computer erlangt die Fähigkeit, Daten in bestimmten Festplattenbereichen zu lesen und zu schreiben. Wir gehen davon aus, dass dieser Bereich vor dem Betriebssystem und sogar vor forensischer Software komplett verborgen ist. Die Daten dieses Bereichs könnten sogar die Formatierung der Festplatte überleben, zudem kann die Firmware theoretisch den Bootsektor der Festplatte erneut infizieren, so dass ein neu installiertes Betriebssystem von Anfang an infiziert ist.
Um die Dinge noch komplizierter zu machen, basieren Firmware-Prüfungen und deren Neuprogrammierung auf der Firmware selbst, daher ist es nicht möglich, die Integrität der Firmware festzustellen oder die Firmware von einem Computer neu hochzuladen. Mit anderen Worten: Nach einer Infizierung ist die Festplatten-Firmware nicht zu entdecken und fast unzerstörbar. Es ist einfacher und günstiger, eine verdächtige Festplatte wegzuwerfen und eine neue zu kaufen.
Normal malware: check. HDD firmware malware: check. Now we just need to worry about GPU, USB, FireWire, webcam, NIC, baseband, Bluetooth…
— Matthew Green (@matthew_d_green) February 17, 2015
Allerdings sollten Sie deshalb nicht gleich zum Schraubendreher greifen. Wir gehen nicht davon aus, dass diese ultimative Infizierungsmöglichkeit die breite Masse erreichen wird. Auch die Equation-Gruppe wird sie wohl nur ein paarmal eingesetzt haben, denn das Festplatten-Infizierungsmodul ist auf den Systemen der Opfer recht selten anzutreffen. Und die Neuprogrammierung von Festplatten ist um vieles komplizierter als das Schreiben von zum Beispiel Windows-Programmen. Jedes Festplattenmodell ist einzigartig und es ist sehr teuer und aufwändig, eine alternative Firmware zu entwickeln. Ein Hacker muss dazu die interne Dokumentation des Festplattenherstellers zur Verfügung haben (das an sich ist schon eine „Mission Impossible“), einige Festplatten des genau gleichen Modells kaufen, die gewünschten Funktionen entwickeln und testen, und dann die schädlichen Funktionen in die existierende Firmware hineinzwängen, ohne dass die Originalfunktionen darunter leiden. Das ist hochentwickelte Ingenieurskunst, die Monate dauert und Millionen kostet. Deshalb ist es nicht sinnvoll, diese Art Stealth-Technologie in kriminellen Schadprogrammen einzusetzen, nicht einmal bei den meisten zielgerichteten Attacken. Zudem ist die Firmware-Entwicklung ganz klar ein sehr spezieller Bereich, der nicht einfach in der Größe angepasst werden kann. Viele Hersteller veröffentlichen jeden Monat Firmware für eine Vielzahl von Laufwerken, laufend kommen neue Modelle hinzu und jedes davon zu hacken ist für die Equation-Gruppe (und jeden anderen) unmöglich und auch gar nicht nötig.
"..it would take a very skilled programmer many months or years to master" reprogramming hard drives, says @vkamluk #TheSAS2015
— Kelly Jackson Higgins (@kjhiggins) February 17, 2015
Das Ergebnis der ganzen Geschichte ist, dass Festplatten-infizierende Schadprogramme keine Legende mehr sind, normale Einzelpersonen aber keinem Risiko ausgesetzt sind. Zerschlagen Sie Ihre Festplatten nicht gleich mit einem Hammer, außer Sie arbeiten in Irans Atomindustrie. Passen Sie dagegen auf weniger spannende, dafür aber wahrscheinlichere Risiken auf, wie die Gefahr, aufgrund schlechter Passwörter oder veralteter Antivirus-Software gehackt zu werden.