Eine Computerinfektion, die nie geheilt werden kann

Da die Herstellung von Computern und anderen Geräten nach China verlagert ist, wird gelegentlich eine paranoide Stimme gefragt, ob das Land versucht sein könnte, Software für die Überwachung vorzuinstallieren. Dies bleibt eine weit hergeholte Vorstellung, aber jetzt hat ein französischer Hacker zumindest gezeigt, wie eine solche verdeckte Hintertür geschaffen werden könnte.

Bei der Schwarzer Hut Sicherheitskonferenz letzte Woche in Las Vegas demonstrierte Jonathan Brossard Software, die sich tief in der Hardware eines PCs verstecken lässt und eine Hintertür schafft, die einen geheimen Fernzugriff über das Internet ermöglicht. Sein Geheimeingang lässt sich nicht einmal durch einen Festplattenwechsel eines PCs oder eine Neuinstallation des Betriebssystems verschließen.

Computerspionage durch Unternehmen und Regierungen ist ein wachsendes Problem, und Hacker verwenden immer ausgefeiltere Methoden, um Sicherheitswälle zu umgehen. Ein Kongressbericht, erschienen im März dieses Jahres , kam zu dem Schluss, dass in China hergestellte Elektronik eine potenzielle Bedrohung für US-Kommunikationssysteme darstellt, es gibt jedoch bis heute keine Beweise für versuchten Spionageversuch durch das Verstecken von Überwachungswerkzeugen in neuen Geräten.



Das Backdoor-Tool von Brossard mit dem Namen Rakshasa muss im BIOS-Chip auf dem Motherboard eines PCs installiert werden, auf dem der Hauptprozessor und andere Kernkomponenten montiert sind. Der BIOS-Chip eines Computers enthält den ersten Code, bekannt als Firmware, den ein Computer beim Einschalten ausführt, um den Startvorgang des Betriebssystems zu starten. Brossard fand auch heraus, dass er seinen bösartigen Code in Chips anderer Hardwarekomponenten wie Netzwerkkarten verstecken und ihn bei Bedarf ins BIOS springen lassen konnte.

Wenn jemand eine einzige bösartige Firmware auf Ihrem Computer installiert, besitzt er Sie im Grunde für immer, sagte Brossard einem Publikum von Hackern und Computersicherheitsexperten bei Black Hat.

Wenn ein PC mit installiertem Rakshasa eingeschaltet wird, sucht die Software nach einer Internetverbindung, um die kleine Menge an Code abzurufen, die sie zur Kompromittierung des Computers benötigt. Wenn Rakshasa keine Internetverbindung herstellen kann, funktioniert es nicht.

Das Design macht Rakshasa besonders heimlich. Für eine Hintertür mit nationalstaatlicher Qualität, denken Sie an Flame oder Stuxnet, wollen wir eine plausible Abstreitbarkeit, erklärte Brossard und bezog sich dabei auf Malware, von der Experten glauben, dass sie von staatlich geförderten Hackern erstellt wurde. Wenn Sie jedes Mal über das Internet abrufen, hinterlassen wir keine Spuren im Dateisystem.

Der Code, den Rakshasa abruft, wird verwendet, um eine Reihe von Sicherheitskontrollen zu deaktivieren, die einschränken, welche Änderungen Low-Level-Code an dem High-Level-Betriebssystem und dem Speicher eines Computers vornehmen kann. Dann, während das Betriebssystem des Computers hochgefahren wird, nutzt Rakshasa die Befugnisse, die es sich selbst eingeräumt hat, um Code in wichtige Teile des Betriebssystems einzuschleusen. Ein solcher Code kann verwendet werden, um Benutzerkontrollen zu deaktivieren oder Passwörter und andere Daten zu stehlen, um sie an die Person zurückzugeben, die Rakshasa kontrolliert.

In einer Vorführung auf der Bühne bei Black Hat bewies Brossard, dass seine Idee funktioniert, indem er Rakshasa einen Computer mit installiertem Windows 7 booten und dessen Kennwortauthentifizierung überschreiben ließ. Eine aus dem Publikum ausgewählte Person konnte sich dann mit einem zufällig gewählten Passwort in das Admin-Konto einloggen.

Brossard baute Rakshasa durch die Kombination mehrerer legitimer Open-Source-Softwarepakete zum Ändern der Firmware. Aufgrund der Bemühungen der Programmierer, die zu diesen Projekten beigetragen haben, arbeitet Rakshasa an 230 verschiedenen Motherboard-Modellen, sagt Brossard. Es funktioniert wahrscheinlich auf vielen weiteren PC-Modellen, da es üblich ist, dass ein Hersteller dasselbe Motherboard-Modell in vielen verschiedenen PC-Modellen verwendet.

Da sich Rakshasa immer nur in Motherboard-Chips befindet, ist es sicher von Antiviren-Software entzogen und widerstandsfähig gegenüber den häufigsten Reaktionen von IT-Mitarbeitern, die einen stark infizierten PC bereinigen.

Selbst wenn Sie Ihre Festplatte oder Ihr Betriebssystem wechseln, werden Sie immer noch in ihrem Besitz sein, sagte Brossard .

Natürlich erfordert die Bereitstellung von Rakshasa Zugriff auf das Motherboard eines Computers, vielleicht in einer Fabrik oder einem Lager. Ein weiteres Angriffsszenario sei, dass man eine neue Netzwerkkarte kaufe und hinter die Tür gehe, so Brossard, weil Rakshasa von anderen Komponenten ins BIOS springen könne.

Wer einen Angriff im Rakshasa-Stil befürchtet, muss die Firmware auf den Chips des Mainboards und anderer Komponenten durch als sicher bekannte Versionen ersetzen.

Der Angriff kann auf PCs mit jeder Art von Prozessor funktionieren, aber viele der Standardfunktionen von PC-Motherboards stammen von Intel. Suzy Greenberg, eine Sprecherin dieses Unternehmens, sagte in einer E-Mail, dass Brossards Papier weitgehend theoretisch sei, da es nicht spezifiziert habe, wie ein Angreifer Rakshasa in ein System einfüge, und nicht berücksichtigt habe, dass viele neue BIOS-Chips kryptografisch sind verifizierter Code, der das Funktionieren verhindern würde.

Brossard stellt jedoch fest, dass dieser zusätzliche Schutz bisher nur auf einer Minderheit von PCs verfügbar ist und dass ein Unternehmen mit Zugang zur PC-Herstellung oder -Vertrieb viele Möglichkeiten haben würde, Software im Rakshasa-Stil zu installieren.

verbergen