Die Sicherheitsforscher rechnen den Schädling der Sednit-APT-Gruppe zu. Diese ist unter verschiedenen Namen bekannt und trat entsprechend schon des Öfteren in Erscheinung. Allerdings wurde sie bisher nicht als übermäßig gefährlich eingeschätzt. Das dürfte sich nun aber ändern - denn vor allem die technischen Fertigkeiten der Gruppe müssen nun wohl komplett neu bewertet werden.
Allerdings ist der Code wohl nicht komplett neu entwickelt worden. Teile sollen von der LoJack-Software übernommen worden sein. Dabei handelt es sich um ein Produkt, mit dem Notebooks gegen Diebstahl abgesichert werden sollen. Damit gestohlene Systeme nicht einfach durch eine Neuinstallation gefügig gemacht werden können, sitzt das Programm hier auch tief in der Firmware und kann unabhängig vom eigentlichen Betriebssystem mit dem Server des Herstellers kommunizieren.
Hardware am besten wegwerfen
Abgeleitet vom Produktnamen heißt das Rootkit nun LoJax. Dieses macht sich die Installations-Routinen von LoJack zunutze, stellt dann aber Verbindungen zu den Servern der Sednit-Gruppe her. Weiterhin ist sie in der Lage, von dort heruntergeladene Codes in das System einzuschleusen und den jeweiligen Rechner somit komplett unter die Kontrolle der Angreifer zu stellen.Eine einmal erfolgte Infektion kann man im Grunde nur entfernen, indem das UEFI neu geschrieben wird. Neuinstallationen des Betriebssystems oder der Austausch der Festplatte reichen nicht. Da die Zielrechner für solche Malware aber eher in kritischen Bereichen zu finden sind, wäre es sinnvoller, die Hardware gleich komplett auszutauschen.
Download GMER - Rootkits finden und entfernen
2018-09-27T15:53:00+02:00Christian Kahle
Auch Unterwegs bestens informiert!
Alle Kommentare zu dieser News anzeigen