Technik

Angriff bei Computerstart "Lojax" soll extrem gefährlich sein

Hacker Lojax.jpg

"Lojax" bedroht offenbar vor allem Rechner mit betagten Chipsätzen.

(Foto: imago/imagebroker)

Sicherheitsforscher entdecken einen äußerst gefährlichen Computerschädling. Das "Lojax" getaufte Rootkit nistet sich im Speicher der Hauptplatine ein, ist fast unsichtbar und lässt sich nur sehr schwer wieder beseitigen. Aber man kann sich schützen.

Mitarbeiter des Sicherheitsanbieters ESET sind einem Computerschädling auf die Schliche gekommen, dessen Gefahrenpotenzial sie als "extrem hoch" einschätzen. Das Rootkit nutzt eine Schwachstelle im UEFI der Hauptplatine eines Rechners aus und nistet sich in dessen Speicher ein. Das Unified Extensible Firmware Interface ist die zentrale Schnittstelle zwischen der Firmware eines Computers, seinen einzelnen Komponenten und dem Betriebssystem.

So kann der von den Sicherheitsforschern "Lojax" getaufte Angreifer schon beim Hochfahren des Rechners die komplette Kontrolle über ein System übernehmen. Er ist für herkömmliche Antivirus-Programme praktisch unsichtbar, da die Schutz-Software erst nach dem Start des Betriebssystems aktiv wird und die Firmware eines Rechners auch nicht scannen kann.

"Lojax" lässt sich auch nur schwer wieder beseitigen. Da er im UEFI sitzt, überlebt er nicht nur eine Neuinstallation des Betriebssystems, sondern sogar den Austausch der Festplatte. Um ein System zu säubern, muss die Firmware neu installiert (geflasht) werden. Dies sei allgemein aber nicht gebräuchlich und die Durchführung dürfe einem typischen Nutzer kaum bekannt sein, schreibt ESET in einem Blogeintrag.

Secure Boot schützt

Das UEFI-Rootkit ist dem ESET-Blogeintrag zufolge nicht richtig signiert, wodurch es der im UEFI integrierte Sicherheitsmechanismus Secure Boot erkennen und stoppen kann, bevor es das System angreift. Dazu muss Secure Boot allerdings auch aktiviert sein. Das geschieht im BIOS- beziehungsweise UEFI-Setup, das man gewöhnlich während des Startvorgangs eines Rechners durch das Drücken einer bestimmten Taste aufruft. Welche das ist, kann man im Handbuch finden oder beim Hersteller abfragen. Häufig handelt es sich dabei um eine der F-Tasten. ESET rät außerdem, dass immer das neueste UEFI-/BIOS-Update für das Motherboard des Computers installiert ist.

Ein Grund zur Sorge haben offenbar auch nur Besitzer älterer Computer. Denn ESET schreibt, man solle kritische Systeme daraufhin überprüfen, ob moderne Chipsätze mit "Platform Controller Hub" genutzt werden. Dabei handelt es sich um Chipsätze, die Intel bereits 2008 eingeführt hat.

Hinter "Lojax" steckt laut ESET die Sednit-Cybergang alias APT28 oder Fancy Bear, die seit mindestens 2004 aktiv ist. Mehrere hochkarätige Angriffe werden ihr zugeschrieben. So macht die US-Justizbehörde die Gruppe für einen Hack des Democratic National Committee (DNC) 2016 verantwortlich, um die US-Wahlen zu manipulieren. Auch der Angriff auf das deutsche Regierungsnetz im vergangenen Februar soll auf das Konto der Gruppe gehen.

Quelle: n-tv.de, kwe

Mehr zum Thema