Hacker gehen mit UEFI-Bootkit gegen europäische NGOs vor

Hacker setzen derzeit auf ein UEFI-Bootkit, um Computer mit zusätzlicher Schadsoftware zu infizieren. Nach Angaben des Sicherheitsanbieters Kaspersky ist es erst die zweite dokumentierte Kampagne, bei der ein UEFI-Bootkit zum Einsatz kommt. Ziel sind Nichtregierungsorganisationen (NGO) in Europa, Afrika und Asien.

Schadsoftware, die UEFI-Firmware verändern kann, bietet gegenüber herkömmlicher Malware einen erheblichen Vorteil: Sie übersteht sogar eine Neuinstallation des Betriebssystems. Allerdings sind solche Angriffe nur schwer umzusetzen. Hacker benötigen entweder einen physischen Zugriff auf ein System oder müssen die Lieferkette kompromittieren, um die Firmware selbst oder die zu deren Installation oder Aktualisierung benutzten Tools zu manipulieren.

Kaspersky-Forscher wurden auf die Angriffe aufmerksam, nachdem der hauseigene Firmware-Scanner zwei Computer als verdächtig eingestuft hatte. Bei der Untersuchung der fraglichen Systeme fanden sie Schadcode innerhalb der UEFI-Firmware. Der Code hatte die Aufgabe, eine schädliche App zu installieren um bei jedem Start des Computers auszuführen.

Alle Komponenten der als Mosaic Regressor bezeichneten App konnten laut Kaspersky noch nicht vollständig analysiert werden. Sie konnten unter anderem nachweisen, dass die Malware die kürzlich verwendeten Dokumente auslesen und in einem passwortgeschützten Archive ablegen kann, wahrscheinlich, um sie für einen spätere Übermittlung mithilfe einer weiteren Komponente vorzubereiten.

Die Hintermänner beschreibt Kaspersky als Chinesisch sprechende Hacker. Die Auswahl der Opfer soll zudem eine Verbindung zur Regierung Nordkoreas nahelegen.

Die Forscher fanden außerdem eine Verbindung zu HackingTeam, dem ehemaligen italienischen Anbieter von Hacking-Werkzeugen. Der Code des UEFI-Bootkits soll auf dem Code von VectorEDK basieren, einem UEFI-Tool aus dem Portfolio von HackingTeam.

Das Unternehmen wurde 2015 selbst das Opfer eines Hackerangriffs. Seine Produkte, darunter auch VectorEDK, wurden im Internet veröffentlicht. So geht aus dessen Anleitung hervor, dass es einen physischen Zugang zu einem Computer benötigt. Aufgrund der Übereinstimmungen im Code des Bootkits und des HackingTeam-Tools geht Kaspersky davon aus, dass auch mutmaßlich aus China stammenden Hacker einen physischen Zugang zu den Computern ihrer Opfer hatten.

ANZEIGE

Kollaborationsplattform Slack: Effizient arbeiten – egal von wo

Vor COVID-19 war Remote-Work für viele Unternehmen fast undenkbar. Heute haben sie erkannt, dass es sehr gut funktionieren kann, wenn die Rahmenbedingungen stimmen. Erfahren Sie in diesem Webinar, wie Sie mit der Kollaborationslösung Slack auf die veränderten Arbeitsbedingungen optimal reagieren können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Google-Forscher entdeckt schwerwiegende Sicherheitslücke in Mozillas NSS-Bibliothek

Ein Angreifer kann Speicherbereiche mit eigenem Code überschreiben. Der Mozilla-Browser Firefox ist aber nicht betroffen.

3 Tagen ago

Forscher warnen vor unsicheren Cloud-Computing-Diensten

Sie richten 320 Honeypots mit unsicher konfigurieren Diensten sowie schwachen Zugangskennwörtern ein. Bereits nach 24…

3 Tagen ago

Online-Handel unter Bot-Beschuss

Unter dem Motto „Es ist ein Bot entsprungen“ machen Hacker dem Online-Handel dieses Weihnachten erneut…

3 Tagen ago

Mit Neo zu Cloud-Native-Ufern

OutSystems fokussiert sich auf Lösungen für die Low-Code-Programmierung. Dieses Verfahren zur Softwareerstellung ohne tiefgehende Programmierkenntnisse…

3 Tagen ago

Netzwerktransformation mit NaaS

Viele Netzwerk-Admins achten in erster Linie auf die Konnektivität. Netzwerk as a Service (NaaS) kann…

3 Tagen ago

ONLYOFFICE: Partnerprogramm bietet zahlreiche Vorteile für neue Reseller

Wer seinen Kunden im Rahmen seiner Softwarelösung, IT-Services oder einfach nur als Reseller die Open-Source-Kollaborationsplattform…

3 Tagen ago