In der stetigen, scheinbar nie enden wollenden Fülle an neuen Nachrichten über Unsicherheiten von IT-Systemen und immer neuen Meldungen von „Superviren“1Vgl. etwa „Russisches Supervirus“, Welt, ...continue reiht sich diese nahtlos ein: Die Meldung des Supervirus LoJax. Diesen Virus haben kürzlich Sicherheitsforscher des Unternehmens ESET entdeckt.4ESET, LOJAX, Research Whitepapers, September 2018, zum Download verfügbar unter: https://www.eset.com/us/business/resources/white-papers/lojax/, ...continue Er soll besonders schwer aufzudecken und insbesondere schwer abzuwehren und deswegen besonders gefährlich sein. Gänzlich neu ist die Spionagetechnik nicht. Davon, dass etwa NSA3Beispiel einer Nutzung von BIOS-Backdoor Mechanismen der NSA: Infosec Institute, ...continue und professionelle Cyber-Kriminelle diese bereits einsetzten wird ausgegangen. Allerdings ist ein Einsatz bis zu der Entdeckung durch ESET nicht in direkter Aktion beobachtet worden.2ESET, LOJAX, Research Whitepapers, September 2018, zum Download verfügbar unter: https://www.eset.com/us/business/resources/white-papers/lojax/, ...continue

Funktionsweise des Virus

Der Virus ist eine Form von Malware. Er nistet sich, anders als die meisten anderen Viren, über ein sogenanntes Root-Kit in einem Computerchip im BIOS bzw. dessen Nachfolgersystem UEFI ein. Die Funktionsweise der LoJax Malware basiert auf einer Technik und Software zur Diebstahlsicherung. Unter Einsatz von LoJack5Nicht zu verwechseln mit LoJax., früher genannt Computrace wird beim Booten des Computersystems durch ein UEFI/BIOS-Modul6BIOS und UEFI sind beides Firmware und sorgen etwa dafür, dass nach dem Einschalten des Rechners seine Komponenten (z.B. Grafikkarte und Festplatte) ...continue eine Überwachungssoftware initiiert, bevor das System überhaupt gestartet wird. Diese Phase vor dem Betriebsstart nutzt der LoJax-Angriff ebenfalls.7Bergert/Ammerl, pcwelt, https://www.pcwelt.de/a/lojax-erstes-uefi-rootkit-in-freier-wildbahn-entdeckt,3452352, zuletzt abgerufen am 09.11.2018. LoJax operiert somit bereits unterhalb der Betriebssystem-Ebene.8Vgl. Golem, https://www.golem.de/news/lojax-uefi-rootkit-in-freier-wildbahn-gesichtet-1809-136837.html, zuletzt abgerufen am 10.10.2018. Um als tauglicher Diebstahlschutz der Hardware zu fungieren war LoJack so konzipiert, dass selbst ein Überspielen der Systeme und der Hardware-Ersatz diese nicht beseitigen konnten. Die hierauf basierende LoJax-Variante kann damit selbst durch Neuinstallation von Windows oder den Austausch der Festplatte nicht beseitigt werden.9Schmidt, https://www.heise.de/security/meldung/Lojax-Der-Spion-der-aus-dem-BIOS-kam-4175535.html, zuletzt besucht am 10.10.2018; Infosec Institute, ...continue Angreifer, die sich auf die LoJack-Technik stützen nutzen eine Veränderung des LoJack-Codes, sodass diese nicht mehr mit der vorprogrammierten legitimen Software „Absolute Software“ kommuniziert, sondern mit einem fremdbestimmten Command-and-Control Server10Beschreibung für einen Command and Control Server (auch C&C oder C2), ...continue.11Vgl. ESET, LOJAX, Research Whitepapers, September 2018, zum Download verfügbar unter: ...continue Ist dieses Kommunikationsnetzwerk erst einmal installiert, können hierüber weitere Angriffe auf die betroffenen Computer erfolgen und Daten ausgespäht werden.

Problematisch ist auch, dass eine Infizierung mit der Software und die anschließende Infiltrierung des Systems keinen physischen Zugang zum System erfordert, der Einsatz etwa von gezielten „Spear-Phishing-Mail12Spear-Phishing ist eine Art der Phishing-Attacke, bei derer ein Angreifer versucht den E-Mail-Empfänger dazu zu bewegen Schadsoftware ...continue-Trojanern“ kann schon genügen.13Schmidt, https://www.heise.de/security/meldung/Lojax-Der-Spion-der-aus-dem-BIOS-kam-4175535.html, zuletzt besucht am 10.10.2018; siehe Funktionsweise ...continue Gleichsam muss ein Angreifer damit aber zunächst über die Ausnutzung bekannter Schwachstellen die Kontrolle über das Computersystem übernehmen, erst dann ist die Installation der LoJax-Spionagesoftware überhaupt möglich.14BSI, https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2018/LoJax-Schadsoftware_28092018.html, zuletzt abgerufen.

Gefährdungspotenzial

Es kann wohl nicht bei dem entwarnenden Hinweis bleiben, Angriffe unter Einsatz von LoJax seien bisher nicht bekannt. Ganz im Gegenteil wird bereits davon ausgegangen, dass bereits mit dem erst kürzlich bekannt gewordenen Bundestag-Hack der Hackergruppe APT28 bereits ein Angriff auf Regierungsnetzwerke stattgefunden hat.15So soll der LoJax-Virus für den erst kürzlich bekannt gewordenen Bundestag-Hack durch die Hackergruppe APT28 verantwortlich sein: Schmidt, ...continue Auch Behörden-Rechner sollen zumindest von einer Infizierung mit dem Virus nicht verschont geblieben sein.16Bild, https://www.bild.de/digital/computer/computer/bios-schaedling-vorsicht-fast-unloeschbarer-super-virus-im-umlauf-57478916.bild.html, zuletzt ...continue Zwar konnte die Firma ESET insgesamt bisher nur wenige Exemplare der Malware aufspüren , die darüber hinaus fast ausschließlich bei Zielen im Umfeld von Regierungen etwa im Balkan und Zentral- bzw. Osteuropa eingesetzt wurden.17ESET, LOJAX, Research Whitepapers, September 2018, zum Download verfügbar unter: https://www.eset.com/us/business/resources/white-papers/lojax/, ...continue Dennoch stufen die Sicherheitsexperten von ESET das Gefährdungspotenzial des Virus als „extrem hoch“ ein.18Bild, https://www.bild.de/digital/computer/computer/bios-schaedling-vorsicht-fast-unloeschbarer-super-virus-im-umlauf-57478916.bild.html, zuletzt ...continue Dass bisher wohl vorrangig politische Institutionen Ziel von Angriffen geworden sind, schließt wohl nicht aus, dass auch wirtschaftlich interessante Unternehmen sich der Gefahr einer solchen Attacke ausgesetzt sehen müssen. Obwohl das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Auffassung, bei LoJax handele es sich um einen fast unbesiegbaren Supervirus, nicht teilt (siehe dazu unter „Abwehrmaßnahmen“) spricht es dennoch von einer allgemeinen Bedrohung von Unternehmen durch zumindest gleichartige Angriffe.19BSI, https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2018/LoJax-Schadsoftware_28092018.html, zuletzt abgerufen.

Abwehrmaßnahmen

Die Sicherheitsforscher von ESET sehen die Abwehr von oben beschriebenen Angriffen als eine komplexe Aufgabe und empfehlen die Zusammenarbeit unterschiedlicher Mechanismen. Virenschutzprogramme etwa, die keinen BIOS-/UEFI-Scanner verwenden, sind machtlos.20Bild, https://www.bild.de/digital/computer/computer/bios-schaedling-vorsicht-fast-unloeschbarer-super-virus-im-umlauf-57478916.bild.html, zuletzt ...continue Das BSI betont hingegen, dass der Infizierung mit LoJax ein „normaler“ Angriff auf bereits bekannte Schwachstellen vorausgehen muss.21BSI, https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2018/LoJax-Schadsoftware_28092018.html, zuletzt abgerufen am 10.10.2018. Daher könne bereits mit den allgemeinen Schutzmaßnahmen zur Abwehr von Schadsoftware ein Angriff vor dem Angriff gestoppt werden.22BSI, https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2018/LoJax-Schadsoftware_28092018.html, zuletzt abgerufen, mit Verweis auf den, durch ...continue

Dennoch, so ESET, sollten Nutzer ihr sog. „Secure-Boot“ angeschaltet haben.23ESET, LOJAX, Research Whitepapers, September 2018, zum Download verfügbar unter: https://www.eset.com/us/business/resources/white-papers/lojax/, ...continue Secure Boot stellt eine Schnittstelle zwischen Betriebssystemen und Firmware/BIOS dar und hilft dabei Manipulationen mit Boot-Ladern über die Validierung derer digitalen Signaturen zu erkennen.24Intel, https://www.intel.de/content/www/de/de/support/articles/000006942/boards-and-kits/desktop-boards.html, „Was ist Secure Boot“, zuletzt ...continue Secure Boot ist damit bereits eine Grundverteidigung auf der technischen Ebene, auf welcher die Spionagetechnik LoJax ansetzt.

Weiterhin wird empfohlen auch die genutzte UEFI-Firmware, welche für die Grundfunktionalität des Gerätes verantwortlich ist25Firmware grundsätzlich: Golem, https://www.golem.de/specials/firmware/, zuletzt besucht am 10.10.2018; Für UEFI-Firmware vgl. pcwelt, ...continue, auf dem aktuellsten Stand zu halten.26ESET, LOJAX, Research Whitepapers, September 2018, zum Download verfügbar unter: https://www.eset.com/us/business/resources/white-papers/lojax/, ...continue Die aktuellsten Updates sollten auf der Motherboard-Webseite zu finden sein. Gleichfalls sollten sämtliche Systeme auf Grundlage moderner Chips operieren. Dabei sollten etwa Intel-Chips mindestens der Serie 5 verwendet werden.27ESET, LOJAX, Research Whitepapers, September 2018, zum Download verfügbar unter: https://www.eset.com/us/business/resources/white-papers/lojax/, ...continue

Nicht nur die Nutzer sind dazu aufgerufen, bestimmte Verteidigungsmechanismen vorzuhalten, besonders auch die BIOS/UEFI-Anbieter sollten für eine hinreichende Konfigurierung ihrer Systeme sorgen, damit deren Schutzmechanismen tatsächlich funktionieren.

Sind Computer erst einmal von der Malware auf der BIOS Ebene infiziert worden, ist deren Bekämpfung Sache von Experten.28ESET, LOJAX, Research Whitepapers, September 2018, zum Download verfügbar unter: https://www.eset.com/us/business/resources/white-papers/lojax/, ...continue Wie bereits beschrieben, bringt es die Eigenart der LoJax-Technik mit sich, dass selbst das Überschreiben oder Ersetzen der Festplatten keinen positiven Effekt haben.29Schmidt, https://www.heise.de/security/meldung/Lojax-Der-Spion-der-aus-dem-BIOS-kam-4175535.html, zuletzt besucht am 10.10.2018. Denkbar ist jedoch ein Austausch des gesamten Motherboards oder etwa ein Upgrade der UEFI-Firmware, vorausgesetzt, dass dieses den gesamten BIOS-Bereich auf dem Speicher überschreibt.

Fazit

Von LoJax geht die größte Gefahr aus, wenn die Malware bereits auf dem BIOS installiert wurde, denn dann wird man sie nahezu nicht wieder los. Bei der Abwehr entsprechender Angriffe sollte bereits auf die allgemeine Verteidigung gegen Schadsoftware gesetzt werden, sodass Angreifer die eigentliche LoJax Malware gar nicht erst auf die Systeme überspielen können. Auch wenn die Möglichkeit der Verteidigung gegen LoJax durchaus unterschiedlich bewertet wird, so wird allgemein davor gewarnt, dass sowohl Regierungsbehörden als auch private Firmen ausgewählte Ziele dieser Spionagetechnik werden könnten. Computernutzern ist daher zu raten, sich nicht nur auf entsprechende Überarbeitung der Firmware-Anbieter zu verlassen, sondern bereits selbst geeignete Verteidigungsmaßnahmen zu installieren.

Referenzen   [ + ]

1. Vgl. etwa „Russisches Supervirus“, Welt, https://www.welt.de/wirtschaft/webwelt/article125606732/Uroburos-Russisches-Supervirus-greift-IT-Welt-an.html, zuletzt abgerufen am 10.10.2018; Supervirus „badBIOS“: ZeitOnline, https://www.zeit.de/digital/internet/2013-11/badbios-supervirus-debatte, zuletzt abgerufen am 10.10.2018; Supervirus „Rombertik-Trojaner“: Focus, https://www.focus.de/digital/computer/schadsoftware-rombertik-haben-sie-diese-mail-bekommen-dann-ist-ihre-festplatte-vielleicht-bald-weg_id_4661042.html, zuletzt abgerufen am 10.10.2018.
2. ESET, LOJAX, Research Whitepapers, September 2018, zum Download verfügbar unter: https://www.eset.com/us/business/resources/white-papers/lojax/, zuletzt abgerufen am 10.10.2018.
3. Beispiel einer Nutzung von BIOS-Backdoor Mechanismen der NSA: Infosec Institute, https://resources.infosecinstitute.com/nsa-bios-backdoor-god-mode-malware-deitybounce/, zuletzt abgerufen am 10.10.2018.
4. ESET, LOJAX, Research Whitepapers, September 2018, zum Download verfügbar unter: https://www.eset.com/us/business/resources/white-papers/lojax/, zuletzt abgerufen am 10.10.2018.
5. Nicht zu verwechseln mit LoJax.
6. BIOS und UEFI sind beides Firmware und sorgen etwa dafür, dass nach dem Einschalten des Rechners seine Komponenten (z.B. Grafikkarte und Festplatte) erkannt und initialisiert werden, bevor Windows startet. Bei UEFI handelt es sich hierbei um den moderneren BIOS-Nachfolger, vgl. PC Magazin, https://www.pc-magazin.de/ratgeber/bios-uefi-windows-boot-unterschiede-tipps-2947248.html, zuletzt abgerufen am 10.10.2018.
7. Bergert/Ammerl, pcwelt, https://www.pcwelt.de/a/lojax-erstes-uefi-rootkit-in-freier-wildbahn-entdeckt,3452352, zuletzt abgerufen am 09.11.2018.
8. Vgl. Golem, https://www.golem.de/news/lojax-uefi-rootkit-in-freier-wildbahn-gesichtet-1809-136837.html, zuletzt abgerufen am 10.10.2018.
9. Schmidt, https://www.heise.de/security/meldung/Lojax-Der-Spion-der-aus-dem-BIOS-kam-4175535.html, zuletzt besucht am 10.10.2018; Infosec Institute, https://resources.infosecinstitute.com/nsa-bios-backdoor-god-mode-malware-deitybounce/, Seite 5, zuletzt abgerufen am 10.10.2018.
10. Beschreibung für einen Command and Control Server (auch C&C oder C2), https://www.searchsecurity.de/definition/Command-and-Control-Server-CC-Server, zuletzt abgerufen am 10.10.2018.
11. Vgl. ESET, LOJAX, Research Whitepapers, September 2018, zum Download verfügbar unter: https://www.eset.com/us/business/resources/white-papers/lojax/, zuletzt abgerufen am 10.10.2018; für weitere Informationen bzgl. des Code-Manipulationsvorgangs von LoJack, siehe Netscout, https://asert.arbornetworks.com/lojack-becomes-a-double-agent/, zuletzt angerufen am 11.10.2018.
12. Spear-Phishing ist eine Art der Phishing-Attacke, bei derer ein Angreifer versucht den E-Mail-Empfänger dazu zu bewegen Schadsoftware herunterzuladen, anders als bei „normalem“ Spam-Phishing, erfolgen Spear-Phishing-Angriffe gezielt und sind oft gegen Firmen, nicht Privatpersonen gerichtet, vgl. Scherschel, heise, https://www.heise.de/newsticker/meldung/Phishing-Mails-auf-dem-Vormarsch-Angriffstaktiken-erklaert-4162313.html, zuletzt abgerufen am 11.10.2018.
13. Schmidt, https://www.heise.de/security/meldung/Lojax-Der-Spion-der-aus-dem-BIOS-kam-4175535.html, zuletzt besucht am 10.10.2018; siehe Funktionsweise C&C-Server, https://www.searchsecurity.de/definition/Command-and-Control-Server-CC-Server, zuletzt abgerufen am 10.10.2018.
14. BSI, https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2018/LoJax-Schadsoftware_28092018.html, zuletzt abgerufen.
15. So soll der LoJax-Virus für den erst kürzlich bekannt gewordenen Bundestag-Hack durch die Hackergruppe APT28 verantwortlich sein: Schmidt, https://www.heise.de/security/meldung/Lojax-Der-Spion-der-aus-dem-BIOS-kam-4175535.html, zuletzt abgerufen 10.10.2018.
16. Bild, https://www.bild.de/digital/computer/computer/bios-schaedling-vorsicht-fast-unloeschbarer-super-virus-im-umlauf-57478916.bild.html, zuletzt abgerufen am 10.10.2018.
17. ESET, LOJAX, Research Whitepapers, September 2018, zum Download verfügbar unter: https://www.eset.com/us/business/resources/white-papers/lojax/, Seite 7, zuletzt abgerufen am 10.10.2018.
18. Bild, https://www.bild.de/digital/computer/computer/bios-schaedling-vorsicht-fast-unloeschbarer-super-virus-im-umlauf-57478916.bild.html, zuletzt besucht am 10.10.2018.
19. BSI, https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2018/LoJax-Schadsoftware_28092018.html, zuletzt abgerufen.
20. Bild, https://www.bild.de/digital/computer/computer/bios-schaedling-vorsicht-fast-unloeschbarer-super-virus-im-umlauf-57478916.bild.html, zuletzt abgerufen am 10.10.2018.
21. BSI, https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2018/LoJax-Schadsoftware_28092018.html, zuletzt abgerufen am 10.10.2018.
22. BSI, https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2018/LoJax-Schadsoftware_28092018.html, zuletzt abgerufen, mit Verweis auf den, durch das BSI bereit gestellten IT-Grundschutz-Katalog: https://www.bsi.bund.de/DE/Themen/ITGrundschutz/itgrundschutz_node.html;jsessionid=E48B2878031DFB3EB32744372A0A487D.1_cid360, zuletzt abgerufen am 10.10.2018.
23. ESET, LOJAX, Research Whitepapers, September 2018, zum Download verfügbar unter: https://www.eset.com/us/business/resources/white-papers/lojax/, Seite 20, zuletzt abgerufen am 10.10.2018; wie dies funktioniert ist etwa hier erklärt: Chip, https://praxistipps.chip.de/secure-boot-deaktivieren-so-gehts_24121, zuletzt abgerufen am 10.10.2018.
24. Intel, https://www.intel.de/content/www/de/de/support/articles/000006942/boards-and-kits/desktop-boards.html, „Was ist Secure Boot“, zuletzt abgerufen am 10.10.2018.
25. Firmware grundsätzlich: Golem, https://www.golem.de/specials/firmware/, zuletzt besucht am 10.10.2018; Für UEFI-Firmware vgl. pcwelt, https://www.pcwelt.de/ratgeber/Alle_Details_zu_UEFI-Firmware-Bios_2.0-8406496.html; zuletzt abgerufen am 10.10.2018.
26. ESET, LOJAX, Research Whitepapers, September 2018, zum Download verfügbar unter: https://www.eset.com/us/business/resources/white-papers/lojax/, Seite 20, zuletzt abgerufen am 10.10.2018.
27. ESET, LOJAX, Research Whitepapers, September 2018, zum Download verfügbar unter: https://www.eset.com/us/business/resources/white-papers/lojax/, Seite 20, zuletzt abgerufen am 10.10.2018.
28. ESET, LOJAX, Research Whitepapers, September 2018, zum Download verfügbar unter: https://www.eset.com/us/business/resources/white-papers/lojax/, Seite 20, zuletzt abgerufen am 10.10.2018.
29. Schmidt, https://www.heise.de/security/meldung/Lojax-Der-Spion-der-aus-dem-BIOS-kam-4175535.html, zuletzt besucht am 10.10.2018.