UEFI-Rootkit in freier Wildbahn entdeckt

28.09.2018

In einer Malware-Kampagne wurden UEFI-Rootkits auf PCs installiert. 

ESET-Forscher haben einen Cyberangriff entdeckt, bei dem erstmals ein sogenanntes UEFI-Rootkit erfolgreich eingesetzt wurde. Die von ESET "Lojax" getaufte Malware nutzt eine Schwachstelle in der UEFI des Mainboards aus und nistete sich in dessen Speicher ein. Dies ist extrem gefährlich, denn Lojax übernimmt von dort die Kontrolle des gesamten Rechners und kann nicht ohne weiteres gelöscht werden. Klassische Gegenmittel wie Virenprogramme oder gar der Festplattentausch sind wirkungslos. Als Drahtzieher der Kampagne wird die Sednit-Gruppe (auch APT28 oder FancyBear genannt) vermutet, die durch ihre Angriffe auf hochrangige Regierungsziele auf sich aufmerksam gemacht hat. 

UEFI-Rootkits garantieren den Zugriff auf den gesamten Computer und können mit Zusatz-Malware beispielsweise auch den Datenverkehr mitschneiden oder umlenken. Besonders prekär ist: UEFI-Rootkits sind schwer zu erkennen und können Cybersicherheitsmaßnahmen wie etwa eine Neuinstallation des Betriebssystems oder sogar einen Festplattenaustausch überstehen. Zudem erfordert das Bereinigen eines infizierten Systems Kenntnisse, die weit über diejenigen eines durchschnittlichen Benutzers hinausgehen, wie zum Beispiel das Flashen von Firmware.

Ähnliche Artikel

comments powered by Disqus
Mehr zum Thema

Linux-Rootkit analysiert

Die Firma FireEye hat einen ausgefeilten DDoS-Wurm analysiert, der sich teilweise als Rootkit auf Linux-Systemen einnistet. 

Artikel der Woche

Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2018