Angreifbar: Elektronik einer Festplatte (Bild: Attingo)Die Berichte rund um den von Kaspersky Lab aufgedeckten Bedrohungsakteur »Equation Group«, der einen Trojaner in die Firmware von Festplatten und USB-Sticks einschleusen kann, sind im Prinzip für das Datenrettungsunternehmen Attingo Datenrettung nichts neues. »Unsere Datenrettungs-Ingenieure manipulieren jeden Tag die Firmware von dutzenden Festplatten«, berichtet Attingo-Geschäftsführer Nicolas Ehrschwendner.

Bei einer Firmware handelt es sich um die Betriebsprogramme von Hardwarekomponenten, unter anderem von Festplatten. Sehr oft liegen die Ursachen bei Datenverlust neben defekten Schreib-Lese-Köpfen oder Oberflächenschäden bei den Magnetscheiben auch in der Festplatten-Software.

Anzeige

Firmware von Festplatten mehrere 100 MByte Maschinencode

»Attingo hat eigene Tools und Verfahren entwickelt, um auf diese Firmware zuzugreifen, Fehler zu beheben und in Folge noch auf die Daten der Festplatte zugreifen zu können«, erklärt Ehrschwendner. »Solche Manipulationen führen wir an Datenträgern in unseren Reinräumen seit 18 Jahren durch, es handelt sich somit um keine neue Idee. Die interne Software von Festplatten kann heute mehrere 100 MByte Maschinencode umfassen. Somit ist reichlich Platz verfügbar, um auch Schadsoftware wie trojanische Pferde zu platzieren und zu verstecken.«

Mögliche Angriffsszenarien umfassen die unbemerkte Manipulation der Datenträger direkt ab Werk, während des Transportweges durch Abfangen der Ware oder auch mit Hilfe von Sicherheitslücken im Betriebssystem. Die Festplatte muss dazu nur kurz mit einem PC verbunden werden, um die Schadsoftware zu installieren. Nach Aktivierung bei der Zielperson manipuliert der Trojaner Daten bei Lesevorgängen und kann somit weitere Schadsoftware direkt im Betriebssystem installieren.

Firmware-Trojaner ermöglicht erschreckende Szenarien

Das besonders Gefährliche an den neuen Trojanern ist, dass diese nur sehr schwer gefunden werden können, und auch eine Formatierung oder eine Neuinstallation überstehen. Ein Schutz davor ist kaum möglich, da sich die manipulierte Software sehr gut vor Virenscannern verstecken kann.

»Im Allgemeinen kann unsere gesamte Hardware von solchen Trojanern betroffen sein, von Datenträgern wie Festplatten, SSDs und USB-Sticks bis hin zu Kopierer, Autos, Fernsehern oder Kaffeemaschinen«, beschreibt Ehrschwendner. »Überwiegend wird Hardware von einer Betriebssoftware betrieben, die auf sogenannten ROM-Bausteinen gespeichert ist. Eine Manipulation ist da immer möglich. Es sind Szenarien vom Mitlauschen aller Gespräche durch den Fernseher bis zu ungewollt gegen Bäume fahrende Autos denkbar.«

Attingo empfiehlt digitale Signatur der Firmware

Firmware des hochsicheren USB-Sticks »IronKey« ist digital signiert (Bild: Imation)Die Problematik von PCs, Laptops und Servern sowie generell elektronischen Geräten liegt darin, dass viele unterschiedliche Komponenten der Hardware vollen Zugriff auf den Hauptspeicher haben und somit die Installation von Trojanern ermöglichen. »Generell ist davon auszugehen«, erklärt Peter Franck, technischer Leiter bei Attingo Datenrettung. »dass unter anderem von Geheimdiensten alles was denkbar ist, auch gemacht wird, und somit Spionage- oder Schadsoftware in vielen elektronischen Geräten installiert werden könnte – und vermutlich auch wird.«

Franck verweist in diesem Zusammenhang auf digitale Signaturen, mit denen ein solcher Angriff wie durch die Equation Group nicht mehr möglich sei. Dies würde jedoch ein komplettes Redesign von Computern und Hardware erfordern. Auf die digitale Signatur verweist stolz auch das Unternehmen Imation bei ihren hochsicheren USB-Sticks »IronKey«. Das jüngste Modell S1000 wurde gestern vorgestellt. Es trotzt laut Imation eben wegen der digitalen Signatur dem Equation-Group-Trojaner. Diese Malware-Aktivisten werden dem US-Geheimdienst NSA zugerechnet.