Kaspersky Lab analysiert Persistence-Modul der Equation Group

KANKUN – Namen flimmern über den Bildschirm: Samsung, Seagate, Western Digital, Hitachi, Maxtor. Diese Festplattenhersteller befanden sich im Visier der APT-Gruppe Equation, und das ist vermutlich das übelste Szenario, das sich die Forscher vorstellen können, die die angsteinflößende und äußerst umfassende Auswahl an Möglichkeiten dieser schädlichen Plattform untersuchen.

Indem sie ihre Malware in die Steuerungssoftware von Festplatten einschleust, erreicht diese Spionage-Gruppe nie endende Computer-Infektion. Keine noch so großen Anstrengungen vermögen das Modul nls_933w.dll von der Festplatte zu putzen.

“Das ist ein idealer Beständigkeitsmechanismus und er verfügt über maximale Widerstandfähigkeit gegenüber Löschversuchen. Wir haben es hier mit der nächsten Stufe der Beständigkeit zu tun, auf einem bis dato nie da gewesenen Niveau“, sagte Vitaly Kamluk, leitender AV-Experte des Global Research and Analysis Team (GReAT) von Kaspersky Lab „Das ist einzigartig und das erste Mal, dass wir es mit einem solchen Maß an Komplexität seitens technisch hoch entwickelter Cyberkrimineller zu tun haben.“

Bei einer Präsentation am Montag auf dem Security Analyst Summit bezeichnete Kamluk dieses Modul als ideales Tool für Cyberattacken, als Grundpfeiler der so genannten Equation Group, einer 15 Jahre währenden Operation, die die Experten von Kaspersky Lab mit Stuxnet und Flame in Verbindung bringen konnten. Das Angriffsarsenal von Equation, einschließlich mehrerer Exploits für Zero-Day-Schwachstellen, wird zum Ausspionieren wichtiger Ziele eingesetzt, wie etwa Regierungseinrichtungen, Botschaften sowie Energie- und Telekommunikationsunternehmen, die in erster Linie in Russland, Syrien, dem Iran und Pakistan beheimatet sind.

Dabei wird das Persistence-Modul von Equation laut Kamluk nur selten eingesetzt.

„Nur ausgewählte Opfer haben es erhalten. Es ist eins der seltensten Module, die ich je gesehen habe, denn es ist überaus wertvoll, und es sollte nicht „im Rampenlicht“ stehen“, erklärte Kamluk. „Es ist ein wertvolles Plugin, das nur in besonderen Fällen gegen sehr wichtige Ziele eingesetzt wird.“

Seine Hauptaufgabe besteht darin, den Fortbestand der Infektion zu gewährleisten, und es erledigt diese Aufgabe sehr gut. Laut Angaben von Kamluk wird es höchstwahrscheinlich auch jetzt gerade eingesetzt.

„Es ist äußerst schwer aufzuspüren, und auf Programmebene ist es absolut unmöglich“, erklärte Kamluk. „Sie müssen Ihren Computer auseinandernehmen, die Festplatte herausziehen und sie einem Experten zur Firmware-Analyse übergeben. Dabei gibt es unserer Meinung nach weltweit nur sehr wenige Personen, die in der Lage sind, den Schadcode in dieser Firmware bloßzulegen, zu vergleichen und zu analysieren. Dazu werden äußerst rar gesäte Spezialisten auf diesem Gebiet benötigt.“

In dem Bericht über Equation werden zwei Funktionen dieses Moduls beschrieben: das Umprogrammieren der Steuerungssoftware der Festplatte und die Gewährleistung des Zugriffs auf verborgene Sektoren der Festplatte. Das ermöglicht der Malware nicht nur ein ewiges Verweilen auf der Festplatte – selbst wenn diese formatiert oder das Betriebssystem neu installiert wird -, den Cyberkriminellen eröffnet sich auch ein nicht auffindbarer ewiger Datenspeicher innerhalb der Festplatte.

„Dieses Modul vermittelt uns eine gewisse Vorstellung ihrer Möglichkeiten“, sagte Kamluk.

Er erklärte, dass nls_933w.dll einen Treiber enthält, der den Schädling installiert. Nach Angaben von Kamluk funktioniert dieser Treiber mit der Festplatte auf Kernel-Ebene.

„Es ist nicht so, dass der Code besonders kompliziert wäre; er verwendet bestimmte Abfolgen der ATA-Befehle für die Arbeit mit der Festplatte, doch einen komplizierten Teil haben wir hier nicht gesehen. Die Rede ist vom Umprogrammieren der Firmware selbst“, sagte Kamluk. “Um sich mit dem Schreiben von Firmware vertraut zu machen, benötigt man Jahre. Wir urteilen über den Grad der Komplexität, weil wir gesehen haben, was die Gruppe in der Lage ist zu tun, doch die Firmware selbst haben wir nicht.“

Kamluk erzählte, dass die Equation Group keine Sicherheitslücken im traditionellen Sinne ausnutzt, sondern eher eine Besonderheit im Design der Festplatten, die es den Herstellern ermöglicht, die Firmware zu aktualisieren.

„Sie haben eine Tür offen stehen lassen, und sie war über viele Jahre lang geöffnet. Die Raffinesse liegt darin, dass man über eine komplette Beschreibung der aktuellen Steuerungssoftware der Festplatte und über das Wissen verfügen muss, wie sie funktioniert. Sie müssen wissen, wie man korrekt schreibt und mit der Festplatte interagiert, um den neuen Code bereitzustellen. Das ist überaus kompliziert und erfordert exklusive Fähigkeiten und Kenntnisse darüber, wie alles angelegt ist.“

Kamluk nimmt an, dass die Cyberkriminellen Zugriff auf interne Dokumente und Manuals jedes oben aufgeführten Herstellers hatten. Vermutlich wurden die Dokumente gestohlen, entweder von einem Insider oder mit Hilfe einer gesonderten Malware-Attacke.

„Sie nutzen keine Bugs im Code aus. Das hier ist ein Design-Fehler“, sagte Kamluk.

Als die Experten von Kaspersky Lab mit der Untersuchung von Equation begannen und hunderte von Dateien und Plugins aller Art fanden, wurde dieses konkrete Modul dank gewisser Codezeilen mit einer Aufzählung der Festplattenhersteller aufgespürt.

„Wir brauchten Monate, um es zu analysieren und herauszufinden, was das bedeutet“, sagte Kamluk. „Wir mussten verschiedene ATA-Befehle studieren und lernen, wie man Code für die Festplatten der verschiedenen Hersteller schreibt. Wir erlernten verschiedene proprietäre Algorithmen und Verbindungsprotokolle. Daher hat es so viel Zeit gekostet, um zu verstehen, was diese Modul tut.“

Quelle:        Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.