LoJax: Erstmals wurde ein UEFI-Rootkit in freier Wildbahn gefunden

Im Security-Bereich bricht jetzt ein neues Zeitalter an: Rootkits, die sich in das UEFI einnisten, sind von einem theoretischen Konferenz-Thema der Sicherheitsforscher zur Realität geworden. Erstmals wurde eine entsprechende Malware in freier Wildbahn entdeckt. Beim Security-Unternehmen ESET konnte diese jetzt analysiert werden. Bisher gab es solche Angriffswerkzeuge nur als Proof of Concept in der Forschung. Und natürlich gab es auch Gerüchte, dass UEFI-Rootkits auch bei Geheimdiensten zum Arsenal gehören. Bis jetzt gab es aber noch keinen einzigen Fall, in dem eine solche Malware tatsächlich auf einem Rechner gefunden worden wäre. Das hat sich nun aber geändert.

Die Sicherheitsforscher rechnen den Schädling der Sednit-APT-Gruppe zu. Diese ist unter verschiedenen Namen bekannt und trat entsprechend schon des Öfteren in Erscheinung. Allerdings wurde sie bisher nicht als übermäßig gefährlich eingeschätzt. Das dürfte sich nun aber ändern - denn vor allem die technischen Fertigkeiten der Gruppe müssen nun wohl komplett neu bewertet werden.

Allerdings ist der Code wohl nicht komplett neu entwickelt worden. Teile sollen von der LoJack-Software übernommen worden sein. Dabei handelt es sich um ein Produkt, mit dem Notebooks gegen Diebstahl abgesichert werden sollen. Damit gestohlene Systeme nicht einfach durch eine Neuinstallation gefügig gemacht werden können, sitzt das Programm hier auch tief in der Firmware und kann unabhängig vom eigentlichen Betriebssystem mit dem Server des Herstellers kommunizieren.

Hardware am besten wegwerfen

Abgeleitet vom Produktnamen heißt das Rootkit nun LoJax. Dieses macht sich die Installations-Routinen von LoJack zunutze, stellt dann aber Verbindungen zu den Servern der Sednit-Gruppe her. Weiterhin ist sie in der Lage, von dort heruntergeladene Codes in das System einzuschleusen und den jeweiligen Rechner somit komplett unter die Kontrolle der Angreifer zu stellen.

Eine einmal erfolgte Infektion kann man im Grunde nur entfernen, indem das UEFI neu geschrieben wird. Neuinstallationen des Betriebssystems oder der Austausch der Festplatte reichen nicht. Da die Zielrechner für solche Malware aber eher in kritischen Bereichen zu finden sind, wäre es sinnvoller, die Hardware gleich komplett auszutauschen.

Download GMER - Rootkits finden und entfernen Chip, Halbleiter, Platine Jiahui Huang / Flickr