Das macht die UEFI-Malware Lojax so besonders und so gefährlich

Was ist so speziell an der Malware Lojax?

Thomas Uhlemann: Bisher hatten wir mit Software-Schädlingen zu kämpfen. Diese waren im Betriebssystem aktiv oder auch mal im Hidden-File-System, also einem versteckten Speicherbereich. Das Problem steckte aber bisher auf der Festplatte. Im Notfall konnte man diese also einfach aus dem PC reissen, verschrotten und ersetzen. Job done: neues System, kein Problem.

Und wo versteckt sich dieser neue Schädling?

Lojax nistet sich nicht im Betriebssystem, sondern im Chipsatz auf dem Mainboard ein – im UEFI-Modul. Was für eine Festplatte daran hängt, ist völlig egal. Es bringt auch nichts, diese auszutauschen oder das System neu aufzusetzen. Die Malware kann aus dem Betriebssystem heraus über ein manipuliertes Update Informationen in den SPI-Speicher schreiben. Einmal im Mainboard drin, kann die Malware bei jedem Systemstart immer wieder die benötigten Komponenten und Treiber installieren.

Was macht das UEFI-Modul eigentlich?

Das Modul wurde für 64-Bit-Systeme entwickelt und ermöglicht einige Sicherheitsfunktionen. Darunter etwa Secure Boot, was die Gerätehersteller erst seit Windows 8 verpflichtend aktivieren müssen. Aber auch der Diebstahlschutz Lojack nutzt das UEFI-Modul. Eben diese Funktion wird durch Lojax ausgenutzt – daher auch der Name. Die Malware manipuliert das Modul so, dass es mit dem Command-and-Control-Server der Cyberkriminellen kommuniziert statt mit dem legitimen Kontrollserver. Und das Modul merkt davon nichts.

Wie wird aus einer Sicherheitsmassnahme eine Sicherheitslücke?

Alle Hersteller, die Mainboards bauen, implementieren das UEFI auf unterschiedliche Art und Weise. Zum Teil werden auch Prüffunktionen weggelassen. So entstehen Lücken. Sicherheitsforscher haben schon vor zehn Jahren darauf hingewiesen und auch schon Machbarkeitsnachweise mit funktionierendem Code präsentiert. Aber das war alles nur theoretisch. Der Aufwand – auch der finanzielle Aufwand – sei zu gross, als dass es jemals ein echtes Problem werden könnte, hiess es damals. Aber jetzt haben wir einen echten Fall mit einer echten UEFI-Infektion und einem echten Opfer.

Wie bereinigt man ein infiziertes System?

Wenn man infiziert ist, ist es eigentlich schon zu spät. Unsere Lösungen erkennen eine UEFI-Infektion zwar. Aber keine Software kann diese Malware löschen. Um das Problem zu beseitigen, muss man das UEFI komplett neu mit einer sauberen Version flashen, also aktualisieren.

Worauf muss der Nutzer dabei achten?

Er braucht ein Update, spezifisch für sein Mainboard. Auch muss er auf die Revisionsnummer seines UEFI-Moduls achten. Wenn er ein neueres Modul hat, kann er dieses darüberspielen und so das schädliche Modul löschen. Aber sogar dann müsste der Nutzer an jedes einzelne Gerät händisch heran. Viele werden sich wohl eher dafür entscheiden, das ganze Mainboard auszutauschen. Dann muss der Nutzer jedoch auch das ganze Betriebssystem neu aufsetzen und eventuell auch wieder eine neue Lizenz von Microsoft und Co. erwerben. Der bessere Weg ist also, es gar nicht erst so weit kommen zu lassen. Denn die Malware kommt auf dem klassischen Weg auf den Rechner.

Was sind das für Wege?

Vermutlich dringt der Schädling über einen infizierten E-Mail-Anhang in den Rechner ein. Anschliessend installiert er eine Backdoor: den Seduploader. Diesen kennen wir schon von anderen Kampagnen. Daher wissen wir auch, dass die Hackergruppe Sednit hinter der UEFI-Malware steckt. Als Nächstes installiert die Malware einen Proxy, über den der Netzwerkverkehr getunnelt wird. All diese Tools können wir erkennen und stoppen. Unsere Lösung kann das Schadprogramm zudem auch blockieren, wenn es in der UEFI-Partition zwischengelagert ist, um das System beim Neustart zu infizieren.

Welche Angriffsvektoren gibt es sonst noch?

Zielgerichtete Angriffe nutzen oft Social-Engineering-Methoden. Manchmal genügt es auch, einfach einen USB-Stick, auf dem "Top Secret" steht, irgendwo fallenzulassen. Über USB wurde 2008 auch schon Stuxnet verbreitet. Wir sehen aber auch viele Angriffe über das Remote-Desktop-Protokoll. Das Protokoll ist auf Windows-Systemen standardmässig schon vorhanden und aktiv. Es kommt aber auch vor, dass Cyberkriminelle sich etwa als Reinigungspersonal ausgeben und physisch in Büros eindringen. Dort machen sie Fotos, weil manche Nutzer noch immer ihre Passwörter auf Notizzettel schreiben und diese an den Bildschirm oder unten an der Tastatur kleben.

Was raten Sie Unternehmen, die von Lojax betroffen sind?

Dass Unternehmen davon betroffen sind, ist zumindest derzeit noch relativ unwahrscheinlich. Es handelt sich dabei um einen zielgerichteten Angriff auf Regierungsnetzwerke, NGOs und vielleicht kritische Journalisten. Solche Attacken versuchen immer, möglichst unauffällig zu sein. Das geht nur, wenn die Malware nicht massenhaft verbreitet wird.

Sagten Sie gerade "zumindest derzeit"?

Sobald bewiesen ist, dass eine Methode funktioniert, geht es in der Regel nicht mehr lange, bis die ersten Trittbrettfahrer auftauchen. Dank Lojax wissen Cyberkriminelle nun, dass es funktioniert. Jetzt suchen sie vermutlich nach anderen Wegen, das UEFI-Modul zu kompromittieren. Ein Mainboard zu kaufen und einfach mal zu probieren, ist kein grosser Aufwand. Solche Attacken könnten also zu einem Massenphänomen wie etwa Ransomware werden. Vermutlich sehen wir schon nächstes Jahr andere Kampagnen, die auf demselben Weg versuchen, ein System persistent zu infizieren. Sogar wenn es ein Patch dafür geben würde. Denn wer macht schon ein BIOS-Update?

Mehr zu Lojax im Whitepaper von Eset (PDF-Download).