In der stetigen, scheinbar nie enden wollenden Fülle an neuen Nachrichten über Unsicherheiten von IT-Systemen und immer neuen Meldungen von „Superviren“[1] reiht sich diese nahtlos ein: Die Meldung des Supervirus LoJax. Diesen Virus haben kürzlich Sicherheitsforscher des Unternehmens ESET entdeckt.[2] Er soll besonders schwer aufzudecken und insbesondere schwer abzuwehren und deswegen besonders gefährlich sein. Gänzlich neu ist die Spionagetechnik nicht. Davon, dass etwa NSA[3] und professionelle Cyber-Kriminelle diese bereits einsetzten wird ausgegangen. Allerdings ist ein Einsatz bis zu der Entdeckung durch ESET nicht in direkter Aktion beobachtet worden.[4]
Funktionsweise des Virus
Der Virus ist eine Form von Malware. Er nistet sich, anders als die meisten anderen Viren, über ein sogenanntes Root-Kit in einem Computerchip im BIOS bzw. dessen Nachfolgersystem UEFI ein. Die Funktionsweise der LoJax Malware basiert auf einer Technik und Software zur Diebstahlsicherung. Unter Einsatz von LoJack[5], früher genannt Computrace wird beim Booten des Computersystems durch ein UEFI/BIOS-Modul[6] eine Überwachungssoftware initiiert, bevor das System überhaupt gestartet wird. Diese Phase vor dem Betriebsstart nutzt der LoJax-Angriff ebenfalls.[7] LoJax operiert somit bereits unterhalb der Betriebssystem-Ebene.[8] Um als tauglicher Diebstahlschutz der Hardware zu fungieren war LoJack so konzipiert, dass selbst ein Überspielen der Systeme und der Hardware-Ersatz diese nicht beseitigen konnten. Die hierauf basierende LoJax-Variante kann damit selbst durch Neuinstallation von Windows oder den Austausch der Festplatte nicht beseitigt werden.[9] Angreifer, die sich auf die LoJack-Technik stützen nutzen eine Veränderung des LoJack-Codes, sodass diese nicht mehr mit der vorprogrammierten legitimen Software „Absolute Software“ kommuniziert, sondern mit einem fremdbestimmten Command-and-Control Server[10].[11] Ist dieses Kommunikationsnetzwerk erst einmal installiert, können hierüber weitere Angriffe auf die betroffenen Computer erfolgen und Daten ausgespäht werden.
Problematisch ist auch, dass eine Infizierung mit der Software und die anschließende Infiltrierung des Systems keinen physischen Zugang zum System erfordert, der Einsatz etwa von gezielten „Spear-Phishing-Mail[12]-Trojanern“ kann schon genügen.[13] Gleichsam muss ein Angreifer damit aber zunächst über die Ausnutzung bekannter Schwachstellen die Kontrolle über das Computersystem übernehmen, erst dann ist die Installation der LoJax-Spionagesoftware überhaupt möglich.[14]
Gefährdungspotenzial
Es kann wohl nicht bei dem entwarnenden Hinweis bleiben, Angriffe unter Einsatz von LoJax seien bisher nicht bekannt. Ganz im Gegenteil wird bereits davon ausgegangen, dass bereits mit dem erst kürzlich bekannt gewordenen Bundestag-Hack der Hackergruppe APT28 bereits ein Angriff auf Regierungsnetzwerke stattgefunden hat.[15] Auch Behörden-Rechner sollen zumindest von einer Infizierung mit dem Virus nicht verschont geblieben sein.[16] Zwar konnte die Firma ESET insgesamt bisher nur wenige Exemplare der Malware aufspüren , die darüber hinaus fast ausschließlich bei Zielen im Umfeld von Regierungen etwa im Balkan und Zentral- bzw. Osteuropa eingesetzt wurden.[17] Dennoch stufen die Sicherheitsexperten von ESET das Gefährdungspotenzial des Virus als „extrem hoch“ ein.[18] Dass bisher wohl vorrangig politische Institutionen Ziel von Angriffen geworden sind, schließt wohl nicht aus, dass auch wirtschaftlich interessante Unternehmen sich der Gefahr einer solchen Attacke ausgesetzt sehen müssen. Obwohl das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Auffassung, bei LoJax handele es sich um einen fast unbesiegbaren Supervirus, nicht teilt (siehe dazu unter „Abwehrmaßnahmen“) spricht es dennoch von einer allgemeinen Bedrohung von Unternehmen durch zumindest gleichartige Angriffe.[19]
Abwehrmaßnahmen
Die Sicherheitsforscher von ESET sehen die Abwehr von oben beschriebenen Angriffen als eine komplexe Aufgabe und empfehlen die Zusammenarbeit unterschiedlicher Mechanismen. Virenschutzprogramme etwa, die keinen BIOS-/UEFI-Scanner verwenden, sind machtlos.[20] Das BSI betont hingegen, dass der Infizierung mit LoJax ein „normaler“ Angriff auf bereits bekannte Schwachstellen vorausgehen muss.[21] Daher könne bereits mit den allgemeinen Schutzmaßnahmen zur Abwehr von Schadsoftware ein Angriff vor dem Angriff gestoppt werden.[22]
Dennoch, so ESET, sollten Nutzer ihr sog. „Secure-Boot“ angeschaltet haben.[23] Secure Boot stellt eine Schnittstelle zwischen Betriebssystemen und Firmware/BIOS dar und hilft dabei Manipulationen mit Boot-Ladern über die Validierung derer digitalen Signaturen zu erkennen.[24] Secure Boot ist damit bereits eine Grundverteidigung auf der technischen Ebene, auf welcher die Spionagetechnik LoJax ansetzt.
Weiterhin wird empfohlen auch die genutzte UEFI-Firmware, welche für die Grundfunktionalität des Gerätes verantwortlich ist[25], auf dem aktuellsten Stand zu halten.[26] Die aktuellsten Updates sollten auf der Motherboard-Webseite zu finden sein. Gleichfalls sollten sämtliche Systeme auf Grundlage moderner Chips operieren. Dabei sollten etwa Intel-Chips mindestens der Serie 5 verwendet werden.[27]
Nicht nur die Nutzer sind dazu aufgerufen, bestimmte Verteidigungsmechanismen vorzuhalten, besonders auch die BIOS/UEFI-Anbieter sollten für eine hinreichende Konfigurierung ihrer Systeme sorgen, damit deren Schutzmechanismen tatsächlich funktionieren.
Sind Computer erst einmal von der Malware auf der BIOS Ebene infiziert worden, ist deren Bekämpfung Sache von Experten.[28] Wie bereits beschrieben, bringt es die Eigenart der LoJax-Technik mit sich, dass selbst das Überschreiben oder Ersetzen der Festplatten keinen positiven Effekt haben.[29] Denkbar ist jedoch ein Austausch des gesamten Motherboards oder etwa ein Upgrade der UEFI-Firmware, vorausgesetzt, dass dieses den gesamten BIOS-Bereich auf dem Speicher überschreibt.
Fazit
Von LoJax geht die größte Gefahr aus, wenn die Malware bereits auf dem BIOS installiert wurde, denn dann wird man sie nahezu nicht wieder los. Bei der Abwehr entsprechender Angriffe sollte bereits auf die allgemeine Verteidigung gegen Schadsoftware gesetzt werden, sodass Angreifer die eigentliche LoJax Malware gar nicht erst auf die Systeme überspielen können. Auch wenn die Möglichkeit der Verteidigung gegen LoJax durchaus unterschiedlich bewertet wird, so wird allgemein davor gewarnt, dass sowohl Regierungsbehörden als auch private Firmen ausgewählte Ziele dieser Spionagetechnik werden könnten. Computernutzern ist daher zu raten, sich nicht nur auf entsprechende Überarbeitung der Firmware-Anbieter zu verlassen, sondern bereits selbst geeignete Verteidigungsmaßnahmen zu installieren.
[1] Vgl. etwa Fuest, „Uroburos – Russisches Supervirus greift IT-Welt an, Welt, zuletzt abgerufen am 10.10.2018; Loll, „badBIOS“ – Supervirus oder Scharlatanerie?, ZeitOnline, zuletzt abgerufen am 10.10.2018; Rombertik-Trojaner – Ein neuer Super-Virus zerstört die Festplatte, Focus, zuletzt abgerufen am 10.10.2018.
[2] ESET, LOJAX, Research Whitepapers, September 2018, zuletzt abgerufen am 10.10.2018.
[3] Beispiel einer Nutzung von BIOS-Backdoor Mechanismen der NSA: Infosec Institute, NSA BIOS Backdoor a.k.a. God Mode Malware Part 1: DEITYBOUNCE, zuletzt abgerufen am 10.10.2018.
[4] ESET, LOJAX, Research Whitepapers, September 2018, zuletzt abgerufen am 10.10.2018.
[5] Nicht zu verwechseln mit LoJax.
[6] BIOS und UEFI sind beides Firmware und sorgen etwa dafür, dass nach dem Einschalten des Rechners seine Komponenten (z.B. Grafikkarte und Festplatte) erkannt und initialisiert werden, bevor Windows startet. Bei UEFI handelt es sich hierbei um den moderneren BIOS-Nachfolger, vgl. Masiero, BIOS und UEFI: 8 Tipps, die Sie kennen sollten, PC Magazin, zuletzt abgerufen am 10.10.2018.
[7] Bergert/Ammerl, Lojax: Erstes UEFI-Rootkit in freier Wildbahn entdeckt, PC-Welt.de, zuletzt abgerufen am 09.11.2018.
[8] Vgl. Tremmel, UEFI-Rootkit in freier Wildbahn gesichtet, Golem.de, zuletzt abgerufen am 10.10.2018.
[9] Schmidt, Lojax: Der Spion, der aus dem BIOS kam, Heise Online, 27.09.2018, zuletzt besucht am 10.10.2018; Infosec Institute, NSA BIOS Backdoor a.k.a. God Mod Malware Part 1: DEITYBOUNCE, Seite 5, zuletzt abgerufen am 10.10.2018.
[10] SearchSecurity, Command-and-Control-Server (C&C-Server) (auch C2), zuletzt abgerufen am 10.10.2018.
[11] Vgl. ESET, LOJAX, Research Whitepapers, September 2018, zuletzt abgerufen am 10.10.2018; für weitere Informationen bzgl. des Code-Manipulationsvorgangs von LoJack, siehe Netscout, Lojack Becomes a Double-Agent, zuletzt angerufen am 11.10.2018.
[12] Spear-Phishing ist eine Art der Phishing-Attacke, bei derer ein Angreifer versucht den E-Mail-Empfänger dazu zu bewegen Schadsoftware herunterzuladen, anders als bei „normalem“ Spam-Phishing, erfolgen Spear-Phishing-Angriffe gezielt und sind oft gegen Firmen, nicht Privatpersonen gerichtet, vgl. Scherschel, Phishing-Mails auf dem Vormarsch: Angriffstaktiken erklärt, Heise Online, 12.09.2018, zuletzt abgerufen am 11.10.2018.
[13] Schmidt, Lojax: Der Spion, der aus dem BIOS kam, Heise Online, 27.09.2018, zuletzt besucht am 10.10.2018; siehe Funktionsweise C&C-Server, SearchSecurity, Command-and-Control-Server (C&C-Server) (auch C2), zuletzt abgerufen am 10.10.2018.
[14] BSI, Stellungnahme des BSI zur Schadsoftware „LoJax“, Pressemitteilung vom 28.09.2018, zuletzt abgerufen am 10.10.2018.
[15] So soll der LoJax-Virus für den erst kürzlich bekannt gewordenen Bundestag-Hack durch die Hackergruppe APT28 verantwortlich sein: Schmidt, Lojax: Der Spion, der aus dem BIOS kam, Heise Online, 27.09.2018, zuletzt besucht am 10.10.2018.
[16] Fast unlöschbarer Super-Virus im Umlauf, Bilde.de, 27.09.2018, zuletzt abgerufen am 10.10.2018.
[17] ESET, LOJAX, Research Whitepapers, September 2018, Seite 7, zuletzt abgerufen am 10.10.2018
[18] Fast unlöschbarer Super-Virus im Umlauf, Bilde.de, 27.09.2018, zuletzt abgerufen am 10.10.2018.
[19] BSI, Stellungnahme des BSI zur Schadsoftware „LoJax“, Pressemitteilung vom 28.09.2018, zuletzt abgerufen am 10.10.2018.
[20] Fast unlöschbarer Super-Virus im Umlauf, Bilde.de, 27.09.2018, zuletzt abgerufen am 10.10.2018.
[21] BSI, Stellungnahme des BSI zur Schadsoftware „LoJax“, Pressemitteilung vom 28.09.2018, zuletzt abgerufen am 10.10.2018.
[22] BSI, Stellungnahme des BSI zur Schadsoftware „LoJax“, Pressemitteilung vom 28.09.2018, zuletzt abgerufen am 10.10.2018, mit Verweis auf den durch das BSI bereit gestellten IT-Grundschutz-Katalog.
[23] ESET, LOJAX, Research Whitepapers, September 2018, Seite 20, zuletzt abgerufen am 10.10.2018; wie dies funktioniert ist etwa hier erklärt: Röhrig, Secure-Boot deaktivieren – so geht’s, Chip.de, 08.09.2018, zuletzt abgerufen am 10.10.2018.
[24] Häufig gestellte Fragen zu Secure Boot, Intel.de, 10.04.2018, zuletzt abgerufen am 10.10.2018.
[25] Firmware grundsätzlich: Firmware, Golem.de, zuletzt besucht am 10.10.2018; Für UEFI-Firmware vgl. Eggeling, Alle Details zu UEFI-Firmware, PC-Welt, zuletzt abgerufen am 10.10.2018.
[26] ESET, LOJAX, Research Whitepapers, September 2018, Seite 20, zuletzt abgerufen am 10.10.2018.
[27] ESET, LOJAX, Research Whitepapers, September 2018, Seite 20, zuletzt abgerufen am 10.10.2018
[28] ESET, LOJAX, Research Whitepapers, September 2018, Seite 20, zuletzt abgerufen am 10.10.2018
[29] Schmidt, Lojax: Der Spion, der aus dem BIOS kam, Heise Online, 27.09.2018, zuletzt besucht am 10.10.2018.