ESET entdeckt ersten Hackerangriff mit UEFI-Rootkit

Ist ESET tatsächlich der einzige Anbieter von Endpoint Security-Lösungen, dessen Produkte die UEFI-Firmware auf schädliche Elemente untersuchen? Und wenn ja, warum bieten andere Anbieter keine solche Lösung?

Unter den Top 20 Anbietern von Endpoint Security-Lösungen (nach Umsatz) ist ESET der einzige, der einen UEFI-Scanner in seinen Lösungen implementiert hat. Auch wenn andere Anbieter „UEFI“ als Schlagwort verwenden, kommen hier andere Technologien und kein wirklicher UEFI-Scanner zum Einsatz.

Doch warum ist ESET der einzige Anbieter in der Branche, der auch derart tiefe Systemebenen untersucht? Einfach gesagt: Wir nehmen unsere Aufgabe, unseren Kunden stets den umfassendsten Schutz zu bieten sehr ernst. Keine Frage, Angriffe auf UEFI-Ebene waren bisher sehr selten und in ihrem Umfang begrenzt. Ist eine solche Attacke jedoch erfolgreich, hat der Angreifer Zugriff auf die gesamte Maschine. Einmal ins System gelangte Malware lässt sich so gut wie nicht entfernen. Bei ESET haben wir uns deshalb entschieden, so viele Ressourcen wie möglich in die Weiterentwicklung der Abwehr von UEFI-Angriffe zu investieren.

Zudem zeigt die aktuelle Entdeckung eines UEFI-Rootkits außerhalb von Laboren, dass UEFI-Rootkits durchaus attraktiv für Angreifer sind und in Zukunft häufiger werden könnten.

Dank unseres UEFI-Scanners sind unsere Kunden bereits heute gegenüber solchen Angriffen geschützt.

Einfach ausgedrückt: Nur so kann identifiziert werden, ob sich an der Firmware zu schaffen gemacht worden ist. Eingriffe in die Firmware sind extrem gefährlich, da sie schwer zu erkennen sind und selbst die Neuinstallation des Betriebssystems oder den Austausch der Festplatte überstehen.

Die Firmware kann zu unterschiedlichsten Zeitpunkten kompromittiert werden, sei es während der Produktion des Rechners selbst, beim Versand oder, falls der Angreifer physischen Zugriff auf das Gerät bekommt, durch Neuinstallation der Firmware. Zusätzlich hat unsere Forschung ergeben, dass hoch entwickelte Malware-Angriffe Modifikationen an der Firmware vornehmen können.

Die meisten Sicherheitslösungen gehen nicht bis auf Firmware-Ebene, sollen sie doch lediglich Festplatten und Speicher analysieren. Um überhaupt Zugang zur Firmware zu erhalten, ist ein spezielles Tool, der „Scanner“, nötig.

Beim „UEFI-Scanner“ handelt es sich um ein ESET-Modul, welches allein dazu gedacht ist, den Inhalt der UEFI-Firmware zu lesen und für Analysen verfügbar zu machen. Der UEFI-Scanner ermöglicht so der eigentlichen Analyse-Engine, die Pre-Boot-Umgebung eingehend auf Integrität zu prüfen.

Mit Unterstützung des UEFI-Scanners sind unsere Sicherheitslösungen so in der Lage, verdächtige oder schädliche Elemente in der Firmware zu identifizieren und den Nutzer zu benachrichtigen.

Wird ein verdächtiges oder schädliches Element in der Firmware erkannt, wird der Nutzer benachrichtigt und kann so die nächsten Schritte einleiten.

Ein möglicher Fall ist, dass das verdächtige Element völlig ungefährlich ist und zum Beispiel zu einem Diebstahlschutz gehört, welcher sich fest im System verankern muss und so als verdächtig klassifiziert wird.

Es kann jedoch auch sein, dass es keinen legitimen Grund für die Existenz der Komponente in der Firmware gibt. In diesem Fall müssen entsprechende Maßnahmen eingeleitet werden.

Leider lässt sich ein System nur schwer von entsprechenden Komponenten reinigen. Typischerweise muss die Firmware komplett neu geflasht werden, um diese zu entfernen. Ist das keine Option, bleibt nur der Austausch des Motherboards.

Der Weg bis zur Entdeckung des Rootkits wird im Blogpost und dem Whitepaper zum Thema beschrieben, die auf unserem Security-Blog WeLiveSecurity zu finden sind.

Kurz gesagt handelt es sich hier um das Ergebnis der hervorragenden Arbeit eines Forscherteams unter der Leitung von Jean-Ian Boutin, Senior Researcher bei ESET. Sie kombinierten ihr Wissen um die Sednit-Gruppe, Telemetriedaten der ESET-Systeme und frühere Entdeckungen ihrer Kollegen bei Arbor Network. Damit war es ihnen möglich, ein ganzes Arsenal an neuartigen Cyberwaffen zu identifizieren, darunter das erste UEFI-Rootkit in freier Wildbahn.

Sednit agiert seit mindestens 2004 und ist auch unter den Namen APT28, STRONTIUM, Sofacy und Fancy Bear bekannt. Es handelt sich hier um eine der aktivsten APT (Advanced Persistent Threat)-Gruppen überhaupt, die durch IT-Spionage und andere Cyberangriffe auf hochkarätige Ziele von sich reden machen.

Unter anderem werden Sednit die Angriffe auf das National Democratic Committee im Zuge der US-Wahlen 2016 sowie Attacken auf den Fernsehsender TV5Monde und die Anti-Doping-Agentur zugeschrieben.

Wie in einem früheren Whitepaper und mehreren Blogposts zum Thema beschrieben, war die Gruppe dabei stets bemüht, ihr Arsenal zu erweitern. Laut Jean-Ian Boutin zeigt gerade die aktuelle Entdeckung LoJax', dass die Gruppe höchst entwickelt und äußerst gefährlich ist.

Wie auch früher schon verdeutlicht, wird ESET die Gruppe weder politisch noch geografisch verorten. Eine solche Attribuierung, vor allem, wenn sie seriös und nachvollziehbar sein soll, liegt weit außerhalb unserer Möglichkeiten. Die Bezeichnung „Sednit“ dient uns lediglich als Oberbegriff für vergleichbare Software und dazugehörige Infrastruktur und soll keine Rückschlüsse auf spezifische Organisation ziehen.