Hacker gehen mit UEFI-Bootkit gegen europäische NGOs vor

Hacker setzen derzeit auf ein UEFI-Bootkit, um Computer mit zusätzlicher Schadsoftware zu infizieren. Nach Angaben des Sicherheitsanbieters Kaspersky ist es erst die zweite dokumentierte Kampagne, bei der ein UEFI-Bootkit zum Einsatz kommt. Ziel sind Nichtregierungsorganisationen (NGO) in Europa, Afrika und Asien.

Schadsoftware, die UEFI-Firmware verändern kann, bietet gegenüber herkömmlicher Malware einen erheblichen Vorteil: Sie übersteht sogar eine Neuinstallation des Betriebssystems. Allerdings sind solche Angriffe nur schwer umzusetzen. Hacker benötigen entweder einen physischen Zugriff auf ein System oder müssen die Lieferkette kompromittieren, um die Firmware selbst oder die zu deren Installation oder Aktualisierung benutzten Tools zu manipulieren.

Kaspersky-Forscher wurden auf die Angriffe aufmerksam, nachdem der hauseigene Firmware-Scanner zwei Computer als verdächtig eingestuft hatte. Bei der Untersuchung der fraglichen Systeme fanden sie Schadcode innerhalb der UEFI-Firmware. Der Code hatte die Aufgabe, eine schädliche App zu installieren um bei jedem Start des Computers auszuführen.

Alle Komponenten der als Mosaic Regressor bezeichneten App konnten laut Kaspersky noch nicht vollständig analysiert werden. Sie konnten unter anderem nachweisen, dass die Malware die kürzlich verwendeten Dokumente auslesen und in einem passwortgeschützten Archive ablegen kann, wahrscheinlich, um sie für einen spätere Übermittlung mithilfe einer weiteren Komponente vorzubereiten.

Die Hintermänner beschreibt Kaspersky als Chinesisch sprechende Hacker. Die Auswahl der Opfer soll zudem eine Verbindung zur Regierung Nordkoreas nahelegen.

Die Forscher fanden außerdem eine Verbindung zu HackingTeam, dem ehemaligen italienischen Anbieter von Hacking-Werkzeugen. Der Code des UEFI-Bootkits soll auf dem Code von VectorEDK basieren, einem UEFI-Tool aus dem Portfolio von HackingTeam.

Das Unternehmen wurde 2015 selbst das Opfer eines Hackerangriffs. Seine Produkte, darunter auch VectorEDK, wurden im Internet veröffentlicht. So geht aus dessen Anleitung hervor, dass es einen physischen Zugang zu einem Computer benötigt. Aufgrund der Übereinstimmungen im Code des Bootkits und des HackingTeam-Tools geht Kaspersky davon aus, dass auch mutmaßlich aus China stammenden Hacker einen physischen Zugang zu den Computern ihrer Opfer hatten.

ANZEIGE

Kollaborationsplattform Slack: Effizient arbeiten – egal von wo

Vor COVID-19 war Remote-Work für viele Unternehmen fast undenkbar. Heute haben sie erkannt, dass es sehr gut funktionieren kann, wenn die Rahmenbedingungen stimmen. Erfahren Sie in diesem Webinar, wie Sie mit der Kollaborationslösung Slack auf die veränderten Arbeitsbedingungen optimal reagieren können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Threat Hunting – Informieren und abwehren

Threat Detection and Response (TDR) stärkt die Abwehrkräfte von Unternehmen. Dabei geht es darum, Angriffe…

15 Stunden ago

HP und Dell übertreffen die Erwartungen um dritten Quartal

Allerdings erzielt nur Dell ein Umsatzwachstum. Beide Unternehmen profitieren jedoch von einer hohen Nachfrage nach…

16 Stunden ago

Xiaomi meldet Gewinnanstieg von 19 Prozent

Der Umsatz klettert um 34,5 Prozent auf umgerechnet 9,24 Milliarden Euro. Die Smartphonesparte verbessert ihr…

18 Stunden ago

Nach US-Wahl: Facebook optimiert News Feed für „zuverlässige“ Nachrichten

CEO Mark Zuckerberg segnet eine Änderung des Algorithmus für den News Feed ab. Sie erhöht…

19 Stunden ago

Hacker setzen durchgesickerte Passwörter gegen Spotify-Konten ein

Eine Datenbank mit 380 Millionen Einträgen enthält auch gültige Anmeldedaten für den Streamingdienst. Spotify setzt…

22 Stunden ago

WAPDropper: Android-Malware abonniert Premium-Dienste

Betrüger nutzen den Umstand, das Geräte und Telefonanbieter den WAP-Standard immer noch unterstützen. Die Malware…

24 Stunden ago