{"id":4848,"date":"2015-02-17T11:16:08","date_gmt":"2015-02-17T11:16:08","guid":{"rendered":"http:\/\/kasperskydaily.com\/germany\/?p=4848"},"modified":"2020-02-26T18:39:16","modified_gmt":"2020-02-26T16:39:16","slug":"equation-festplatten-schadprogrammm-von-equation-ist-unterwegs-aber-keine-panik-noch-nicht","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/equation-festplatten-schadprogrammm-von-equation-ist-unterwegs-aber-keine-panik-noch-nicht\/4848\/","title":{"rendered":"Das unzerst\u00f6rbare Schadprogramm von Equation ist unterwegs \u2013 aber keine Panik (noch nicht)"},"content":{"rendered":"<p>Die vor kurzem von Kaspersky Lab ver\u00f6ffentlichte Forschungsarbeit zu den <a href=\"https:\/\/securelist.com\/blog\/research\/68750\/equation-the-death-star-of-malware-galaxy\/\" target=\"_blank\" rel=\"noopener\">Aktivit\u00e4ten der Cyber-Spionagegruppe Equation<\/a> beschreibt einige technische Wunderwerke. Diese alte und machtvolle Hacker-Gruppe hat eine komplexe Reihe sch\u00e4dlicher \u201eImplantate\u201c entwickelt, doch die interessanteste Entdeckung ist die F\u00e4higkeit des Schadprogramms, die Festplatten der Opfer umzuprogrammieren, so dass die \u201eImplantate\u201c unsichtbar und fast unzerst\u00f6rbar werden.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">Suite of Sophisticated Nation-State Attack Tools Found With Connection to Stuxnet \u2013 <a href=\"http:\/\/t.co\/FsaH0Jzq5O\" target=\"_blank\" rel=\"noopener nofollow\">http:\/\/t.co\/FsaH0Jzq5O<\/a><\/p>\n<p>\u2014 Kim Zetter (@KimZetter) <a href=\"https:\/\/twitter.com\/KimZetter\/status\/567400308045647872?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">February 16, 2015<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Das ist eine der schon lange erwarteten <a href=\"https:\/\/www.kaspersky.com\/blog\/8-all-time-scariest-looking-viruses\/\" target=\"_blank\" rel=\"noopener nofollow\">Horrorgeschichten der Computersicherheit<\/a>. Ein Virus, gegen den nichts gemacht werden kann und der f\u00fcr immer in der Computer-Hardware bleibt \u2013 jahrzehntelang galt das als urbane Legende, doch es scheint, dass jemand Millionen von Dollar ausgegeben hat, um genau das wahr werden zu lassen. Manche Medienberichte zur Equation-Geschichte gehen sogar so weit, zu sagen, dass es den Hackern m\u00f6glich sein, \u201e<a href=\"http:\/\/www.reuters.com\/article\/2015\/02\/16\/us-usa-cyberspying-idUSKBN0LK1QV20150216\" target=\"_blank\" rel=\"noopener nofollow\">auf dem Gro\u00dfteil der weltweiten Computer alles mitzuh\u00f6ren<\/a>\u201e. Wir wollen die Panik aber etwas mindern, denn diese M\u00f6glichkeit wird so selten bleiben wie Pandas, die die Stra\u00dfe \u00fcberqueren.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter size-full wp-image-4850\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/96\/2015\/02\/06141602\/The-Equation-Group-1024x767.png\" alt=\"The-Equation-Group-1024x767\" width=\"1024\" height=\"767\"><\/p>\n<p>Lassen Sie uns damit beginnen, zu erkl\u00e4ren, was die \u201eUmprogrammierung der Festplatten-Firmware\u201c bedeutet. Eine Festplatte besteht aus zwei sehr wichtigen Komponenten: Einem Speichermedium (bei klassischen Festplatten sind das Magnetscheiben, bei SSDs handelt es sich hier um Flash-Speicher) und einem Mikrochip, der das Lesen und Schreiben auf der Festplatte kontrolliert, aber auch viele Service-Prozesse \u00fcberwacht, etwa die Fehler-Entdeckung und -Korrektur. Diese Service-Prozesse sind zahlreich vorhanden und recht komplex, so dass ein Chip sein eigenes, hochentwickeltes Programm ausf\u00fchrt und technisch gesehen selbst ein kleiner Computer ist. Das Programm des Chips nennt man Firmware und der Festplattenhersteller aktualisiert diese Firmware hin und wieder, um Fehler auszubessern oder die Leistung der Festplatte zu verbessern.<\/p>\n<p>Und dieser Mechanismus wird von der Equation-Gruppe ausgenutzt: Sie kann ihre eigene Firmware auf Festplatten von 12 verschiedenen \u201eKategorien\u201c (Hersteller\/Variationen) herunterladen. Die Funktionen dieser modifizierten Firmware sind derzeit unbekannt, doch das Schadprogramm auf dem Computer erlangt die F\u00e4higkeit, Daten in bestimmten Festplattenbereichen zu lesen und zu schreiben. Wir gehen davon aus, dass dieser Bereich vor dem Betriebssystem und sogar vor forensischer Software komplett verborgen ist. Die Daten dieses Bereichs k\u00f6nnten sogar die Formatierung der Festplatte \u00fcberleben, zudem kann die Firmware theoretisch den Bootsektor der Festplatte erneut infizieren, so dass ein neu installiertes Betriebssystem von Anfang an infiziert ist.<\/p>\n<p>Um die Dinge noch komplizierter zu machen, basieren Firmware-Pr\u00fcfungen und deren Neuprogrammierung auf der Firmware selbst, daher ist es nicht m\u00f6glich, die Integrit\u00e4t der Firmware festzustellen oder die Firmware von einem Computer neu hochzuladen. Mit anderen Worten: Nach einer Infizierung ist die Festplatten-Firmware nicht zu entdecken und fast unzerst\u00f6rbar. Es ist einfacher und g\u00fcnstiger, eine verd\u00e4chtige Festplatte wegzuwerfen und eine neue zu kaufen.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">Normal malware: check. HDD firmware malware: check. Now we just need to worry about GPU, USB, FireWire, webcam, NIC, baseband, Bluetooth\u2026<\/p>\n<p>\u2014 Matthew Green (@matthew_d_green) <a href=\"https:\/\/twitter.com\/matthew_d_green\/status\/567473604347326466?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">February 17, 2015<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Allerdings sollten Sie deshalb nicht gleich zum Schraubendreher greifen. Wir gehen nicht davon aus, dass diese ultimative Infizierungsm\u00f6glichkeit die breite Masse erreichen wird. Auch die Equation-Gruppe wird sie wohl nur ein paarmal eingesetzt haben, denn das Festplatten-Infizierungsmodul ist auf den Systemen der Opfer recht selten anzutreffen. Und die Neuprogrammierung von Festplatten ist um vieles komplizierter als das Schreiben von zum Beispiel Windows-Programmen. Jedes Festplattenmodell ist einzigartig und es ist sehr teuer und aufw\u00e4ndig, eine alternative Firmware zu entwickeln. Ein Hacker muss dazu die interne Dokumentation des Festplattenherstellers zur Verf\u00fcgung haben (das an sich ist schon eine \u201eMission Impossible\u201c), einige Festplatten des genau gleichen Modells kaufen, die gew\u00fcnschten Funktionen entwickeln und testen, und dann die sch\u00e4dlichen Funktionen in die existierende Firmware hineinzw\u00e4ngen, ohne dass die Originalfunktionen darunter leiden. Das ist hochentwickelte Ingenieurskunst, die Monate dauert und Millionen kostet. Deshalb ist es nicht sinnvoll, diese Art Stealth-Technologie in kriminellen Schadprogrammen einzusetzen, nicht einmal bei den meisten zielgerichteten Attacken. Zudem ist die Firmware-Entwicklung ganz klar ein sehr spezieller Bereich, der nicht einfach in der Gr\u00f6\u00dfe angepasst werden kann. Viele Hersteller ver\u00f6ffentlichen jeden Monat Firmware f\u00fcr eine Vielzahl von Laufwerken, laufend kommen neue Modelle hinzu und jedes davon zu hacken ist f\u00fcr die Equation-Gruppe (und jeden anderen) unm\u00f6glich und auch gar nicht n\u00f6tig.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">\"..it would take a very skilled programmer many months or years to master\" reprogramming hard drives, says <a href=\"https:\/\/twitter.com\/vkamluk?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">@vkamluk<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/TheSAS2015?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#TheSAS2015<\/a><\/p>\n<p>\u2014 Kelly Jackson Higgins (@kjhiggins) <a href=\"https:\/\/twitter.com\/kjhiggins\/status\/567654279897686016?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">February 17, 2015<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Das Ergebnis der ganzen Geschichte ist, dass Festplatten-infizierende Schadprogramme keine Legende mehr sind, normale Einzelpersonen aber keinem Risiko ausgesetzt sind. Zerschlagen Sie Ihre Festplatten nicht gleich mit einem Hammer, au\u00dfer Sie arbeiten in Irans Atomindustrie. Passen Sie dagegen auf weniger spannende, daf\u00fcr aber wahrscheinlichere Risiken auf, wie die Gefahr, aufgrund <a href=\"https:\/\/www.kaspersky.com\/blog\/false-perception-of-it-security-passwords\/\" target=\"_blank\" rel=\"noopener nofollow\">schlechter Passw\u00f6rter<\/a> oder veralteter <a href=\"https:\/\/www.kaspersky.com\/advert\/free-trials\/multi-device-security?redef=1&amp;THRU&amp;reseller=blog_en-global\" target=\"_blank\" rel=\"noopener nofollow\">Antivirus-Software<\/a> gehackt zu werden.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Es gibt ein Schadprogramm, das nicht von den Festplatten der Opfer gel\u00f6scht werden kann. Allerdings ist es so rar und teuer, dass Sie wahrscheinlich nie damit zu tun haben werden. <\/p>\n","protected":false},"author":32,"featured_media":4850,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2711,6],"tags":[1334,1335,63,1336,1063,337,1333],"class_list":{"0":"post-4848","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-news","9":"tag-equation","10":"tag-festplatte","11":"tag-hacker","12":"tag-hdd","13":"tag-schadprogramm","14":"tag-spionage","15":"tag-thesas2015"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/equation-festplatten-schadprogrammm-von-equation-ist-unterwegs-aber-keine-panik-noch-nicht\/4848\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/equation\/","name":"Equation"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/4848","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/32"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=4848"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/4848\/revisions"}],"predecessor-version":[{"id":22939,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/4848\/revisions\/22939"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/4850"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=4848"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=4848"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=4848"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}