ComputerBase Menü
Registrieren
Suche
  1. ComputerBase
  2. Netzpolitik

Spionage: Neue Malware manipuliert die Firmware von Festplatten

Silvio Werner
81 Kommentare
Spionage: Neue Malware manipuliert die Firmware von Festplatten
Bild: Kaspersky (PDF)

Kaspersky hat Malware der Spionagegruppe „Equation Group“ entdeckt, die die Festplatte des Opfers umprogrammiert. Diese Art der Schadsoftware, die sich in die Firmware einnistet, ist kaum zu finden und praktisch nicht zu entfernen.

Die Programme, die die Firmware einer Festplatte manipulieren, hören auf die Namen Equationdrug und Greyfish. Die Spionagegruppe macht sich die von Herstellern vorgesehene Möglichkeit der Aktualisierung der Firmware auf dem Controller der Festplatte zunutze, die normalerweise, wie etwa von Samsung zum Bereinigen von Fehlern genutzt wird. Die Hackergruppe ist in der Lage, eine eigene, modifizierte Firmware auf die Festplatte zu schreiben. Derzeit sind laut Kaspersky in der vierten Version der Malware zwölf verschiedene „Kategorien“ (Hersteller/Variationen) betroffen. Vertreten sind sowohl klassische Festplatten als auch SSDs von zahlreichen Herstellern.

Tabelle über die Möglichkeiten der Schadsoftware
Tabelle über die Möglichkeiten der Schadsoftware (Bild: Kaspersky (PDF))

Die eigentliche Funktion der veränderten Firmware ist noch ungeklärt. Durch den direkten Zugriff auf die Festplatte erhält die Malware allerdings die Chance, Daten auf speziell versteckte Bereiche der Festplatte zu schreiben und zu lesen. Diese Bereiche überstehen laut Kaspersky selbst eine Formatierung des Laufwerks, zudem würde die infizierte Firmware eine neuerliche Infektion des Systems von Grund auf ermöglichen. Da die Überprüfung und Neuprogrammierung der Firmware auf die bestehende Firmware angewiesen ist, ist es nicht möglich, die Infektion wirkungsvoll zu beseitigen. Kaspersky Labs empfiehlt deshalb den kompletten Austausch der Festplatte, um die Malware zu beseitigen.

Es ist jedoch nicht davon auszugehen, dass diese von Kaspersky Lab als „ultimative Infektion“ bezeichnete Malware zur gängigen Praxis wird. Die Entwicklung einer alternative Firmware für Festplatten sei zu teuer, die Programmierung kann nur für einzelne Modelle erfolgen und ist aufwendiger als etwa die Programmierung eines Windows-Programms. Zudem sind interne Dokumente der Hersteller notwendig. Die modifizierte Firmware darf zudem den regulären Betrieb des Massenspeichers nicht stören, solch eine Aufgabe erfordere „Monate der Entwicklung und Millioneninvestitionen“. Die schiere Anzahl der veröffentlichten Festplatten und Firmwares übersteige die Möglichkeiten jeder Hackergruppe. Das Risiko für den durchschnittlichen Nutzer sei also äußert gering.

Weltweit konnten bislang rund 500 Fälle von modifizierten Festplatten in über 30 Ländern aufgespürt werden, wobei insbesondere diplomatische, militärische und infrastrukturelle Ziele im Iran, Russland, Pakistan und Afghanistan betroffen sind.

CB-Funk Podcast: 25 Jahre ComputerBase: Wie alles begann! mit Jan-Frederik, Frank und Steffen

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz