UEFI Exploit Malware bleibt auch nach der Neuinstallation des Betriebssystems bestehen
Sicherheitsforscher sind auf einen in UEFI eingebetteten Trojaner gestoßen, der Daten auf infizierten MS Windows-Computern sammeln kann. Im Gegensatz zu anderen beliebten Trojans da draußen durchbohrt die neue Bedrohung ein Loch in der Unified Extensible Firmware Interface (UEFI) und steckt sich tief im Flash-Speicher des Motherboards. Infolgedessen gewinnt die Malware auf dem infizierten PC an Beständigkeit und ist somit immun gegen Antiviren-Tools. Darüber hinaus würde der Trojaner auch nach einer Neuinstallation eines MS Windows-Betriebssystems nicht verschwinden.
Das zweite Mal, dass Hacker eine auf UEFI zugeschnittene Malware entwickelt haben, kommt sie zwei Jahre, nachdem die Lojax-Bedrohung 2018 am Horizont aufgetaucht ist.
Inhaltsverzeichnis
Die Nutzlast (en)
Die UEFI-basierte Malware diente als Hintertür für eine weitere schädliche ausführbare Datei namens "IntelUpdate.exe". Letzteres zielt darauf ab, zusätzliche Malware-Exfiltratdaten von infizierten Computern bereitzustellen. Darüber hinaus wird es während des Systemstarts geladen, sodass Sie immer wieder auf eine Schleife stoßen. Wenn Sie die EXE-Datei entfernt haben, wird sie vom UEFI-Trojaner beim nächsten Start wiederhergestellt, sofern Sie die Firmware von UEFI nicht vollständig entfernen.
Ziele & Verdächtige
Bisher richteten sich die meisten registrierten Angriffe gegen diplomatische und nichtstaatliche Organisationen, von denen angenommen wird, dass sie auf die eine oder andere Weise Verbindungen nach Nordkorea haben. Über Europa, Asien und Afrika verteilt, haben die Opfer die Malware über ein bösartiges Framework namens MosaicRegressor erhalten. Eine genauere Untersuchung der Malware verband sie mit einem bestimmten C & C-Server, der früher mit Winnti in Verbindung stand, einem Cybergang, der angeblich von den chinesischen Behörden unterstützt wurde. Das Vorhandensein chinesischer Symbole im Code selbst unterstützt diese Theorie ebenfalls weiter. Der Mangel an harten Beweisen deutet jedoch darauf hin, dass die Behauptung eher bloße Spekulation als eine Tatsache sein könnte.
Ursprungs- und Infektionsvektor
Der Ursprung der UEFI-basierten Malware lässt sich bis ins Jahr 2015 zurückverfolgen, als ein italienisches Unternehmen für Überwachungstechnologie namens Hacking Team Opfer von Datendiebstahl wurde. Die Daten - ein Projekt, das sich mit UEFI-gezielten Malware-Angriffen befasst - sind kurz nach diesem Vorfall im Internet durchgesickert. Es ist jedoch nicht klar, ob sich die verantwortlichen Gauner auf diese Daten verlassen oder stattdessen eine andere BIOS-Sicherheitslücke ausgenutzt haben. Der Infektionsvektor ist dagegen ebenso vage. Obwohl die Opfer anscheinend Phishing-E-Mails von den betreffenden Hackern erhalten haben, enthielt keine dieser E-Mails die Nutzdaten.