Rootkit-Angriff auf UEFI-BIOS

So schützen Sie sich vor Lojax

04.10.2018
Von 
Jens Dose ist Redakteur der COMPUTERWOCHE und betreut in erster Linie Themen rund um IT-Sicherheit, Datenschutz und Compliance.
Kürzlich entdeckten die Antivirus-Forscher von ESET die erste erfolgreiche Spionage-Attacke über das hardwarenahe UEFI-Rootkit „Lojax“. Wir erklären, wie Sie ihr Unternehmen schützen können.

Am 27. September teilte das slowakische IT-Sicherheitsunternehmen ESET mit, seine Forscher hätten einen Cyberangriff entdeckt, bei dem erstmals ein sogenanntes UEFI-Rootkit erfolgreich eingesetzt wurde. Die "Lojax" getaufte Malware attackiert das hardwarenahe UEFI-BIOS-System des Mainboards und setzt sich im Speicher fest. Damit ist die Schadsoftware kaum zu entfernen, sie gewährt den Angreifern praktisch die Kontrolle über den kompletten Rechner.

Lojax nistet sich hardwarenah im UEFI-BIOS ein und ist damit schwer zu entfernen.
Lojax nistet sich hardwarenah im UEFI-BIOS ein und ist damit schwer zu entfernen.
Foto: spainter_vfx - shutterstock.com

Wie gefährlich ist Lojax?

Geht es nach ESET, stellt die Malware eine "extrem hohe" Gefahr dar. Es gäbe generell kaum Updates für BIOS/UEFI. Zudem seien Administratoren und Anwender darüber informiert, da es dort bisher keine Angriffe gegeben habe.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist anderer Meinung. In einer Stellungnahme der Behörde heißt es, die Schadsoftware sei zwar signifikant schwieriger zu erkennen und zu beseitigen als solche, die das Betriebssystem betreffe. Die Angreifer müssten aber direkt auf den Rechner zugreifen können, um Lojax zu installieren. Daher böten die vom BSI empfohlenen Schutzmaßnahmen zur Computer- und Netzwerksicherheit gegen unbefugte Zugriffe - wie beispielsweise der IT-Grundschutz - eine ausreichende Absicherung. Zwar dürfe die Gefahr nicht unterschätzt werden, eine massenhafte Ausweitung sei aber nicht zu erwarten.

Ähnlich sieht das auch Thomas Schumacher, Managing Director und Leiter des Bereichs Security für Financial Services bei Accenture: "Ein Angriff mittels Lojax ist aufwändig und hat einen sehr zielgerichteten, strategischen Hintergrund." Um Geld zu erpressen oder Daten zu stehlen, gäbe es einfachere Angriffsvektoren. Bei Lojax müssten die Aggressoren erst einmal herausfinden, mit welchem Gerät und BIOS-System das Opfer arbeitet. Die Malware in Form eines BIOS-Updates müsste dann entsprechend angepasst werden. Schumacher sieht momentan Behörden und kritische Infrastrukturen als wahrscheinlichste Ziele. Allerdings wären auch Angriffe auf Unternehmen mit wertvollen Betriebsgeheimnissen denkbar.

Vorsorgen

Weil die Angreifer auf den Rechner zugreifen müssen, um Lojax einzusetzen, gilt es, das Unternehmen gegen unbefugte Eindringlinge zu schützen. Dafür sind die bekannten Methoden wirksam. Die häufigsten Einfallstore für böswillige Hacker sind unachtsame Mitarbeiter und schlechte Patch-Hygiene. Daher sollten Unternehmen die Awareness-Programme gegen Phishing-Attacken und dergleichen intensivieren und ihre Software-Patches gegen Schwachstellen am Perimeter immer auf dem aktuellsten Stand halten.

Des Weiteren sollten Unternehmen wissen, welche Daten besonders schützenswert sind. Dazu gilt es vorerst, die Unternehmensdaten zu klassifizieren, also herauszufinden, welche Informationen das Unternehmen hat und wo sie liegen. Anschließend können diese wertvollen Daten beispielsweise durch eine Identity-Rights-Management-Lösung abgesichert werden. Maßnahmen dafür sind beispielsweise die Daten zu verschlüsseln und die Zugriffsrechte einzelner Nutzer genau zu regeln. Multi-Faktor-Authentifizierung statt einfacher Passwort-Absicherung hilft zusätzlich dabei, sensible Netzwerk-Bereiche gegen Eindringlinge zu schützen.

Erkennen

Um zu erkennen, ob sich trotz der Vorsichtsmaßnahmen Lojax auf einem Rechner eingenistet hat, bedarf es spezieller Maßnahmen. Antivirus-Lösungen sind in der Lage, hardwarenahe Komponenten wie das BIOS an den Endpunkten zu scannen.

Der Netzwerk-Traffic gibt ebenfalls Hinweise auf die Malware, denn sie kommuniziert mit Command & Control-Servern. Daher deutet sich eine Infektion mit Lojax an, wenn ein Endgerät zu einem ungewöhnlichen Zeitpunkt mit einem unbekannten Counterpart kommuniziert. Dies kann beispielsweise über ein Security Operation Center (SOC) überwacht werden.

Beheben

Sobald ein Angriff erkannt wurde, sollte das befallene Gerät sofort vom Netz genommen werden. Da die Malware direkt auf dem Chip des Gerätes sitzt, kann sie weder mit traditionellen Antiviren-Programmen noch durch einen Festplattentausch beseitigt werden. Damit bleiben Unternehmen zwei Möglichketen, um Lojax wieder loszuwerden:

  1. den Rechner entsorgen.

  2. die originale UEFI-BIOS-Firmware wieder auf die Hardware aufspielen.

Wenige, aber kritische Ziele

Hinter dem von ESET entdeckten Angriff vermutet der Hersteller die "Sednit"-Gruppe, auch bekannt als "APT (Advanced Persistent Threat) 28", "Sofancy Group" oder "Fancy Bear". Lojax soll mit Servern kommunizieren, die diesem Hackerkollektiv zugeordnet sind. Daher ist es wahrscheinlich, dass der Virus sich hauptsächlich gegen politische und staatliche Ziele richtet. Behörden und Betreiber kritischer Infrastrukturen wie etwa Stromversorger sollten sich also dringend mit Lojax und entsprechenden Schutzmaßnahmen beschäftigen.