Hacker gehen mit UEFI-Bootkit gegen europäische NGOs vor

Hacker setzen derzeit auf ein UEFI-Bootkit, um Computer mit zusätzlicher Schadsoftware zu infizieren. Nach Angaben des Sicherheitsanbieters Kaspersky ist es erst die zweite dokumentierte Kampagne, bei der ein UEFI-Bootkit zum Einsatz kommt. Ziel sind Nichtregierungsorganisationen (NGO) in Europa, Afrika und Asien.

Schadsoftware, die UEFI-Firmware verändern kann, bietet gegenüber herkömmlicher Malware einen erheblichen Vorteil: Sie übersteht sogar eine Neuinstallation des Betriebssystems. Allerdings sind solche Angriffe nur schwer umzusetzen. Hacker benötigen entweder einen physischen Zugriff auf ein System oder müssen die Lieferkette kompromittieren, um die Firmware selbst oder die zu deren Installation oder Aktualisierung benutzten Tools zu manipulieren.

Kaspersky-Forscher wurden auf die Angriffe aufmerksam, nachdem der hauseigene Firmware-Scanner zwei Computer als verdächtig eingestuft hatte. Bei der Untersuchung der fraglichen Systeme fanden sie Schadcode innerhalb der UEFI-Firmware. Der Code hatte die Aufgabe, eine schädliche App zu installieren um bei jedem Start des Computers auszuführen.

Alle Komponenten der als Mosaic Regressor bezeichneten App konnten laut Kaspersky noch nicht vollständig analysiert werden. Sie konnten unter anderem nachweisen, dass die Malware die kürzlich verwendeten Dokumente auslesen und in einem passwortgeschützten Archive ablegen kann, wahrscheinlich, um sie für einen spätere Übermittlung mithilfe einer weiteren Komponente vorzubereiten.

Die Hintermänner beschreibt Kaspersky als Chinesisch sprechende Hacker. Die Auswahl der Opfer soll zudem eine Verbindung zur Regierung Nordkoreas nahelegen.

Die Forscher fanden außerdem eine Verbindung zu HackingTeam, dem ehemaligen italienischen Anbieter von Hacking-Werkzeugen. Der Code des UEFI-Bootkits soll auf dem Code von VectorEDK basieren, einem UEFI-Tool aus dem Portfolio von HackingTeam.

Das Unternehmen wurde 2015 selbst das Opfer eines Hackerangriffs. Seine Produkte, darunter auch VectorEDK, wurden im Internet veröffentlicht. So geht aus dessen Anleitung hervor, dass es einen physischen Zugang zu einem Computer benötigt. Aufgrund der Übereinstimmungen im Code des Bootkits und des HackingTeam-Tools geht Kaspersky davon aus, dass auch mutmaßlich aus China stammenden Hacker einen physischen Zugang zu den Computern ihrer Opfer hatten.