Handelsblatt

MenüZurück
Wird geladen.

17.02.2015

10:55 Uhr

Schnüffelei der NSA?

Spione können direkt auf Festplatten zugreifen

VonChristof Kerkmann

Spionieren direkt an der Quelle: Eine Hackergruppe kann im großen Stil Festplatten auslesen. Dafür schleust sie Schnüffelprogramme ins System ein. Die Angreifer stehen offenbar mit dem US-Geheimdienst NSA in Verbindung.

Hoch entwickelte Angreifer: Hinter der Hackergruppe Equation Group steckt offenbar ein staatlicher Akteur. dpa

Hoch entwickelte Angreifer: Hinter der Hackergruppe Equation Group steckt offenbar ein staatlicher Akteur.

DüsseldorfEine staatliche Hackergruppe, die vermutlich zum amerikanischen Geheimdienst NSA gehört, kann Spionageprogramme in die System-Software von Festplatten einschleusen und Informationen aus dem Speicher auslesen. Auch das Formatieren des Laufwerks helfe nicht, um die schädliche Software entfernen, berichtete die russische IT-Sicherheitsfirma Kaspersky am späten Montagabend. Woher die als Equation Group titulierte Gruppe stammt, machte Kaspersky nicht öffentlich, US-Medien berichteten jedoch, sie gehöre zum Geheimdienst NSA.

Die IT-Sicherheitsexperten haben zwei Module entdeckt, mit denen die Angreifer die Festplatten etlicher großer Hersteller manipulieren können. Selbst wenn Nutzer das Laufwerk formatieren und die Software neu installieren, überlebt das Spionageprogramm in der System-Software, der so genannten Firmware: Es kann das Löschen bestimmter Festplattenbereiche verhindern. Betroffen sind dem Bericht zufolge Geräte von Western Digital, Seagate, Toshiba, Maxtor und Samsung.

Wie die Hacker zum Ziel kommen

Eine einzige Schwachstelle reicht

Wenn kriminelle Angreifer in ein Computersystem eindringen wollen, haben sie einen Vorteil: Sie müssen womöglich nur eine einzige Schwachstelle finden, um einen Rechner zu kompromittieren. Einige ausgewählte Angriffsmethoden.

Verspätetes Update

Es gibt praktisch keine fehlerlose Software – wenn Sicherheitslücken entdeckt werden, sollte sie der Hersteller mit einem Update schließen. Viele Firmen lassen sich jedoch Zeit, diese zu installieren und öffnen Angreifern somit Tür und Tor.

Angriff auf die Neugier

Der Mensch ist neugierig - das machen sich kriminelle Hacker zunutze: Sie verfassen fingierte E-Mails, die wichtige Dokumente oder ein lustiges Video versprechen, aber nebenbei die Zugangsdaten eines Mitarbeiters stehlen. Phishing wird diese Methode genannt.

Gutgläubigkeit als Einfallstor

„Hier ist die IT-Abteilung. Wir brauchen mal Ihr Passwort“: Nicht selten gelangen Angreifer mit einem dreisten Anruf an die Zugangsdaten eines Mitarbeiters. Wer gutgläubig ist, fällt auf diese Masche rein – obwohl die IT-Fachleute aus dem eigenen Haus nie so eine Frage stellen würden.

Ein Passwort, das nicht sicher ist

Ob Router oder Drucker: Viele Geräte werden mit einem Standardpasswort ausgeliefert. Wenn die IT-Abteilung es nicht verändert, haben Angreifer leichtes Spiel. „Die Handbücher mit dem Passwort stehen oft im Internet“, sagt Joachim Müller, Chef für IT-Sicherheit beim Dienstleister Ceyoniq Consulting.

Ein schwaches Glied

Angreifer suchen das schwächste Glied in der Kette, häufig alte Systeme. Zudem kennen professionelle Angreifer – neben Kriminellen auch Geheimdienste – oft Sicherheitslücken, die den Herstellern der Software noch nicht bekannt sind. Gegen solche Zero-Day-Exploits kann man sich kaum schützen.

Die Angreifer könnten außerdem auf dem Laufwerk einen unsichtbaren Bereich schaffen, um ausgefilterte Informationen zu speichern, erklärte Kaspersky. Diese könnten sie später abrufen und beispielsweise nutzen, um mit abgefangenen Passwörtern Verschlüsselungstechnologie auszuhebeln. Zu finden sei die Software kaum. Fazit der Forscher: Die Spionageprogramme seien das „vielleicht stärkste Werkzeug im Arsenal“ der Gruppe. Die einzige Möglichkeit, die schädliche Software loszuwerden, bestehe in der Zerstörung der Festplatte, twitterte der Kaspersky-Forscher Fabio Assolini.

Die Kaspersky-Forscher bezeichnen die Hacker-Gruppe als Equation Group, weil sie auf Verschlüsselungstechnologien spezialisiert ist und sich bestens mit mathematischen Gleichungen auskennen muss. Es handle sich um einen „hoch entwickelten“ Angreifer, der sich auf den Einbruch in Computernetzwerke spezialisiert habe und seit 2001, womöglich sogar seit 1996 aktiv sei, berichten die Forscher.

Kaspersky geht davon aus, dass es sich um einen staatlichen Akteur handelt. So nutze die Gruppe komplizierte und teure Werkzeuge. Es gebe außerdem „zuverlässige Hinweise“ darauf, dass sie mit den Machern des Stuxnet-Wurms in Verbindung stehe – also jener Software, mit der vermutlich amerikanische und israelische Geheimdienste Uranzentrifugen des Iran sabotierten. Ehemalige Mitarbeiter der NSA bestätigten der Nachrichtenagentur Reuters, dass der US-Geheimdienst die Spionageprogramme entwickelt habe.

Die Kaspersky-Forscher konnten binnen eines Jahres Angriffe auf mindestens 500 Organisationen feststellen, vornehmlich Regierungen und Unternehmen. Allerdings habe die Software einen Selbstzerstörungsmechanismus – „daher können wir davon ausgehen, dass es in der Geschichte der Equation Group wahrscheinlich Zehntausende Infektionen in aller Welt gegeben hat“. Die Opfer der Attacken fanden die Fachleute in 30 Ländern, vor allem in Russland, Iran, Pakistan und Afghanistan. Auch in Deutschland gab es dem Bericht zufolge Infektionen.

Kommentare (1)

Selber kommentieren? Hier zur klassischen Webseite wechseln.  Selber kommentieren? Hier zur klassischen Webseite wechseln.

G. Nampf

17.02.2015, 12:37 Uhr

"Die einzige Möglichkeit, die schädliche Software loszuwerden, bestehe in der Zerstörung der Festplatte, twitterte der Kaspersky-Forscher Fabio Assolini"

Wie naiv. Die Software wird wahrscheinlich - im Einvernehmen mit den Herstellern - bei der Herstellung mit eingebaut.

Man muß davon ausgehen, daß JEDE Festplatte so behandelt wird.

Direkt vom Startbildschirm zu Handelsblatt.com

Auf tippen, dann auf „Zum Home-Bildschirm“ hinzufügen.

Auf tippen, dann „Zum Startbildschirm“ hinzufügen.

×