Technik
Die meisten Opfer der Equation Group befinden sich im Iran und in Russland. Stark betroffen sind auch Pakistan, Afghanistan, Indien, China, Syrien und Mali.
Die meisten Opfer der Equation Group befinden sich im Iran und in Russland. Stark betroffen sind auch Pakistan, Afghanistan, Indien, China, Syrien und Mali.(Foto: Kaspersky Lab)

Mutter der Cyber-Spionage: Mächtigste Hacker-Gruppe identifiziert

Sicherheitsforscher warnen vor einer mächtigen Hacker-Organisation, die seit rund 15 Jahren ihr Unwesen treibt. Sie soll alles bisher Bekannte in den Schatten stellen. Die Virenjäger nennen sie die "Equation Group", andere NSA.

Wer oder was ist die "Equation Group"? Sicherheitsforscher des Kaspersky Lab warnen vor einer Organisation, die gefährlicher und besser ausgerüstet sein soll als alle anderen bekannten Hacker-Gruppen. Die Equation Group sei schon seit 2001 aktiv und für weltweit mehr als 60 Cyberangriffe verantwortlich, die besonders fortschrittlich ausgeführt worden seien, heißt es in der Pressemitteilung. Es gäbe auch "zuverlässige Hinweise darauf, dass die Equation Group mit anderen einflussreichen Gruppen wie beispielsweise den Betreibern von Stuxnet und Flame interagiert", schreiben die Sicherheitsforscher. Die Organisation habe dabei offenbar eine Führungsrolle gespielt. So habe ein Schädling der Equation Group zwei Zero-Day-Schwachstellen ausgenutzt, lange bevor diese in Stuxnet und Flame eingebaut worden seien.

Mit dem Implantat "EquationLaser" fingen 2001 die Aktivitäten der Gruppe an. Gibt es eine Verbindung zu den Anschlägen des 11. September?
Mit dem Implantat "EquationLaser" fingen 2001 die Aktivitäten der Gruppe an. Gibt es eine Verbindung zu den Anschlägen des 11. September?(Foto: Kaspersky)

Laut Kaspersky Lab ist die Equation Group in "annähernd all ihren Aktivitäten einzigartig". Die Gruppe nutze äußerst komplizierte Werkzeuge, die sehr teuer in der Entwicklung seien. "Damit infizieren sie ihre Opfer, rufen Daten ab und verbergen ihre Aktionen in einer außergewöhnlich professionellen Weise." Zur Infektion benutze die Gruppe eine Reihe von Trojanern (Implantaten), böswilliger Code werde aber auch über klassische Spionage-Taktiken bei den Opfern platziert.

Unentdeckt auf Festplatten

Für die Experten sind die vielleicht gefährlichsten Werkzeuge im Arsenal der Hacker-Organisation zwei Module, mit denen die Neuprogrammierung der Festplatten-Firmware bei einem Dutzend beliebter Festplattenhersteller möglich ist. Die Malware selbst zeichne sich durch eine extrem hohe Widerstandsfähigkeit aus, mit der sie sogar eine Formatierung der Festplatte oder eine Neuinstallation des Betriebssystems überlebe, so die Pressemitteilung.

"Sobald die Malware in die Firmware gelangt, kann sie sich selbst für immer wieder herstellen und das Löschen bestimmter Festplattenbereiche verhindern beziehungsweise diesen Bereich durch einen schädlichen während eines Systemneustarts ersetzen." Es sei unmöglich, die infizierten Festplatten zu scannen, sagt Kaspersky-Mitarbeiter Costin Raiu. "Das bedeutet, dass wir praktisch blind sind und mit dieser Malware infizierte Festplatten nicht erkennen können." Der getarnte Malware-Spion sei ab dem Hochfahren des Systems aktiv und könne Informationen speichern und weitergeben, sagt der Experte. Unter anderem könnten die Angreifer so auch das Verschlüsselungspasswort erbeuten.

Um auch Netzwerke ausspionieren zu können, die nicht mit dem Internet verbunden sind, nutzt die Equation Group USB-Sticks mit einem versteckten Speicherbereich. Sobald er an einem Rechner des Netzwerks angeschlossen wird, beginnt ein Computerwurm namens "Fanny", unerkannt Informationen zu sammeln. Wird er später an einen Rechner gesteckt, der online ist, schickt er die Daten automatisch an den Command- und Control-Server der Equation Group. Umgekehrt können die Hacker in den versteckten Bereich des Sticks Befehle platzieren, die prompt ausgeführt werden, wenn er an einem Rechner des Netzwerks steckt.

Equation Group = NSA?

Die Angreifer nutzten laut Kaspersky Lab alle Methoden, um Ziele zu infizieren; nicht nur über das Web, sondern auch klassische Methoden der Spionage. Einige Teilnehmer einer wissenschaftlichen Konferenz in Houston erhielten beispielsweise zu Hause eine CD-ROM mit Inhalten der Veranstaltung, die mit dem Trojaner "DoubleFantasy" infiziert war.

Kaspersky Lab schreibt es nicht direkt, deutet aber an, dass die Equation Group staatliche Auftraggeber hat. Seit dem Jahr 2001 habe die Organisation vermutlich zehntausende Opfer in über 30 Ländern aus folgenden Bereichen infiziert: Regierungs- und diplomatische Institutionen, Telekommunikation, Luft- und Raumfahrt, Energie, Nuklearforschung, Öl- und Gasindustrie, Militär, Nanotechnologie, islamische Aktivisten und Gelehrte, Massenmedien, Transport, Finanzinstitute sowie Unternehmen, die Verschlüsselungstechnologien entwickeln. Dafür setze die Gruppe eine riesige Infrastruktur mit mehr als 300 Domains und über 100 Server ein. Ihre Standorte befänden sich unter anderem auch in den USA, Großbritannien, Italien und Deutschland.

Für Sicherheitsexperte Claudio Guarnieri, der unter anderem an der Analyse der Snowden-Dokumente mitarbeitete, steht "zu 100 Prozent" fest, dass die Equation-Angriffe das Werk der NSA sind. Darauf deuteten die von Kaspersky Lab genannten Werkzeuge der Hacker hin, die direkt oder indirekt dem US-Sicherheitsdienst zuzuweisen seien, sagte er dem Magazin "Forbes". Die NSA teilte mit, sie habe den Kaspersky-Bericht zur Kenntnis genommen, werde ihn aber nicht öffentlich kommentieren oder Details diskutieren. Im Einklang mit der Obama-Direktive zur Arbeit der US-Geheimdienste vom 17. Januar werde die USA, seine Bürger und seine Verbündeten weiter vor Terrorismus und vielen weiteren Bedrohungen schützen.

Quelle: n-tv.de

Empfehlungen