Kaspersky entdeckt neues UEFI-Rootkit

Die Experten von Kaspersky haben ein von einem Advanced-Persistent-Threat (APT)-Akteur entwickeltes Rootkit entdeckt [1], das selbst dann auf dem Computer des Betroffenen verbleibt, wenn das Betriebssystem neu gestartet oder Windows neu installiert wird. Das UEFI-Firmware-Rootkit ‚CosmicStrand‘ wurde bisher hauptsächlich für Angriffe auf Privatpersonen in China verwendet, einige Opfer befinden zudem in Vietnam, im Iran und in Russland.

Bei der UEFI-Firmware handelt es sich um eine kritische Komponente, die sich in der überwiegenden Mehrheit der Hardware befindet. Ihr Code ist dafür verantwortlich, ein Gerät hochzufahren und die Softwarekomponente zu starten, die das Betriebssystem lädt. Schaffen es Angreifer, schädlichen Code in der UEFI-Firmware zu platzieren, dann wird dieser Code noch vor dem Betriebssystem gestartet, wodurch Sicherheitslösungen dessen Aktivität möglicherweise nicht erkennen und so das Betriebssystem nicht schützen können. Dies und die Tatsache, dass sich die Firmware auf einem von der Festplatte getrennten Chip befindet, macht UEFI-Firmware-Angriffe besonders schwer zu erkennen und außergewöhnlich hartnäckig. Denn unabhängig davon, wie oft das Betriebssystem neu installiert wird, bleibt die Malware auf dem Gerät.

CosmicStrand ist die jüngste Entdeckung eines UEFI-Firmware-Rootkits durch Kaspersky-Experten; sie wird einem zuvor unbekannten chinesischsprachigen APT-Akteur zugeschrieben. Während das eigentliche Ziel der Angreifer noch nicht bekannt ist, stellten die Forscher fest, dass die Firmware nur auf Privatpersonen abzielt und nicht wie üblich auf Unternehmen. Alle angegriffenen Computer waren Windows-basiert: Bei jedem Neustart eines Computers wurde nach dem Start von Windows ein schädlicher Code ausgeführt, dessen Zweck darin bestand, sich mit einem C2-Server (Command-and-Control) zu verbinden und eine zusätzliche schädliche ausführbare Datei herunterzuladen.

Die Kaspersky-Experten konnten noch nicht identifizieren, wie das Rootkit auf die infizierten Computer gelangte, aber unbestätigte Konten, die online entdeckt wurden, deuten darauf hin, dass einige Nutzer wohl kompromittierte Geräte erhalten haben, als sie Hardware-Komponenten online bestellten. Interessant ist zudem, dass das CosmicStrand-UEFI-Implantat wohl bereits seit Ende 2016 in freier Wildbahn verwendet wurde – lange bevor UEFI-Angriffe überhaupt öffentlich beschrieben wurden.

„Obwohl das CosmicStrand-UEFI-Firmware-Rootkit erst kürzlich entdeckt wurde, scheint es schon seit geraumer Zeit im Einsatz zu sein. Dies deutet darauf hin, dass einige Bedrohungsakteure über sehr fortschrittliche Fähigkeiten verfügen, die sicherstellten, dass die Firmware so lange unentdeckt bleiben konnte. Wir müssen uns jetzt fragen, welche neuen Tools sie in der Zwischenzeit entwickelt haben, die wir noch entdecken müssen“, kommentiert Ivan Kwiatkowski, Senior Security Researcher beim Global Research and Analysis Team bei Kaspersky.

Kaspersky-Tipps für Verbraucher zum Schutz vor fortgeschrittenen Bedrohungen wie CosmicStrand

• Betriebssystem regelmäßig aktualisieren, um die Firmware auf den neuesten Stand zu bringen.
• Hardware sollte nur von vertrauenswürdigen Anbietern und Lieferanten bezogen werden.
• Website des Computer- oder Motherboard-Herstellers prüfen, ob die Hardware Intel Boot Guard unterstützt, das eine unbefugte Änderung der UEFI-Firmware verhindert. Im nächsten Schritt sicherstellen, dass diese Funktion im Betriebssystem aktiviert ist.

Kaspersky-Empfehlungen für Unternehmen zum Schutz vor fortgeschrittenen Bedrohungen wie CosmicStrand

• Das SOC-Team sollte stets Zugriff auf die neuesten Threat Intelligence haben. Das Kaspersky Threat Intelligence Portal [2] ist ein zentraler Zugangspunkt für Threat Intelligence, Daten und Erkenntnisse zu Cyberangriffen, die Kaspersky seit über 20 Jahren gesammelt hat.
• Implementieren von EDR-Lösungen wie Kaspersky Endpoint Detection and Response [3] für die Erkennung, die Untersuchung und Behebung von Vorfällen.
• Bereitstellung einer grundlegenden Cybersicherheits-Hygieneschulung wie Kaspersky Security Awareness [4] für alle Mitarbeiter, da viele zielgerichtete Angriffe mit Phishing oder anderen Social-Engineering-Techniken beginnen.
• Verwendung einer robusten Endpoint-Schutzlösung wie Kaspersky Endpoint Security for Business [5], die die Verwendung von Firmware erkennen kann.
• Regelmäßig die UEFI-Firmware aktualisieren und nur Firmware von vertrauenswürdigen Anbietern verwenden.

Die vollständige Analyse zu CosmicStrand ist verfügbar unter https://securelist.com/cosmicstrand-uefi-firmware-rootkit/106973/

[1] https://securelist.com/cosmicstrand-uefi-firmware-rootkit/106973/

[2] https://www.kaspersky.de/enterprise-security/threat-intelligence

[3] https://www.kaspersky.de/enterprise-security/endpoint-detection-response-edr

[4] https://www.kaspersky.de/enterprise-security/security-awareness

[5] https://www.kaspersky.de/small-to-medium-business-security

Nützliche Links:

• Kaspersky-Analyse zu CosmicStrand: https://securelist.com/cosmicstrand-uefi-firmware-rootkit/106973/
• Kaspersky Endpoint and Detection: https://www.kaspersky.de/enterprise-security/endpoint-detection-response-edr
• Kaspersky Threat Intelligence: https://www.kaspersky.de/enterprise-security/threat-intelligence
• Kaspersky Security Awareness: https://www.kaspersky.de/enterprise-security/security-awareness