Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.

Equation Group: Sicherheitsforscher entdecken mutmaßliche NSA-Schadprogramme

Vor einem Jahr haben SPIEGEL und SPIEGEL ONLINE über geheime NSA-Schadsoftware berichtet, die sich in der Firmware von Festplatten einnistet. Jetzt haben Experten solche Programme auf Hunderten Rechnern gefunden.

Equation Group: Kaspersky findet Schadsoftware rund um den Globus Zur Großansicht
Kaspersky

Equation Group: Kaspersky findet Schadsoftware rund um den Globus

Auf über 500 Rechnern rund um den Globus haben die Sicherheitsexperten von Kaspersky Lab brandneue Schadsoftware entdeckt. Die Virenforscher sprechen von bislang ungeahnter Komplexität und Qualität, vom "Todesstern der Malware-Galaxie". Die Superspähprogramme stammen vermutlich von der NSA.

Den acht Schadprogrammen, die Kaspersky Lab in einem Bericht (PDF) vorstellt, haben die Virenforscher selbst Namen wie Fanny oder Grayfish gegeben. Sie sollen alle aus einer Hand stammen: Die Experten nennen sie die Equation-Gruppe. Equation, Gleichung, wegen ihrer Vorliebe für "ausgefeilte Verschlüsselungsmethoden".

Wahrscheinlich seit 2001, vielleicht schon seit 1996 wurden dem Bericht zufolge von der Equation-Gruppe Tausende bis Zehntausende Computer infiltriert, vor allem in Regierungen, Telekomunternehmen, der Luftfahrt- und Energiebranche, dem Militär und von muslimischen Aktivisten und Gelehrten. Die meisten Infektionen fand Kaspersky in Iran, Russland, Pakistan, Afghanistan, Indien, China, Syrien und Mali. Aber auch Telekommunikationsinfrastruktur in Deutschland sei betroffen.

Verbreitet wurden die Programme auf zum Teil originelle Weise. Ein Wissenschaftler beispielsweise habe eine CD mit Fotos von einer Konferenz in den USA geschickt bekommen, an der er teilgenommen hatte, so Kaspersky. Auf dem Datenträger verbarg sich aber auch eine Spähsoftware von einer "nahezu allmächtigen Cyberspionage-Organisation", so die Virenforscher.

Festplatten-Firmware infiziert

Die Schadprogramme sind ausgefeilt: Zwei von ihnen nisten sich in der Steuersoftware (Firmware) von Festplatten ein und können so auch Festplatten-Löschungen und -Neuinstallationen überstehen. "Das übertrifft selbst Regin an Raffinesse. Dass die Firmware einer Festplatte infiziert wird, haben wir nie zuvor gesehen", so die Kaspersky-Forscher. Regin ist eine Schadsoftware, die ebenfalls der NSA und ihren Verbündeten zugeordnet wird.

Dass der US-Geheimdienst NSA über genau solche Werkzeuge verfügt, ist schon seit Dezember 2013 bekannt: Damals veröffentlichten SPIEGEL und SPIEGEL ONLINE einen Katalog mit Hard- und Softwareimplantaten einer NSA-Abteilung namens ANT, was vermutlich für Advanced Network Technologies steht. Der Katalog enthält beispielsweise ein "Produkt" namens Iratemonk, das dazu dient "Desktop-Rechner und Laptops mit überdauernden Softwareanwendungen auszustatten, indem es die Festplatten-Firmware implantiert". Geeignet ist Iratemonk demnach für "eine Vielzahl von Festplatten von Western Digital, Seagate, Maxtor und Samsung".

Interaktive Grafik
Die Firmware-Modifikation, die Kaspersky entdeckte, ist dem Bericht zufolge in der Lage, "über ein Dutzend unterschiedliche Festplattenmarken" zu infizieren, darunter "Seagate, Western Digital, Toshiba, Maxtor und IBM". Das zitierte Dokument über die Festplatten-Malware namens Iratemonk stammt aus dem Jahr 2008. Die Festplatten-Malware, die Kaspersky beschreibt und nur "nls_933w.dll" nennt, ist neuer, sie stammt dem Bericht zufolge aus dem Jahr 2010.

Weitere Parallelen zu NSA-Werkzeugen

Beschrieben wird auch ein Software-Implantat, das speziell dazu gemacht ist, über infizierte USB-Sticks auch von solchen Rechnern Daten abzuzweigen, die gar nicht ans Internet angeschlossen sind (air gap). Auch solche Technik findet sich im ANT-Katalog. Die von Kaspersky beschriebene Software nutzte zwei Schwachstellen in Windows-Computersystemen aus, um auch Computer ohne Internetanschluss infizieren zu können. Diese zwei Lücken kannten die Experten schon: Sie hatten sie bereits im Stuxnet-Wurm entdeckt, mit dem die USA und Israel mutmaßlich iranische Uran-Anreicherungsanlagen sabotierten.

Der Bericht der russischen Anti-Virus-Firma lässt wenig Zweifel daran, ohne explizit darauf hinzuweisen: Hinter den Angriffen steckt der amerikanische Geheimdienst NSA. Die Liste der Ziele, das technische Know-how und der Ressourcen-Aufwand für die Entwicklung der Schadsoftware deuten darauf hin.

Aber es gibt noch weitere handfeste Hinweise: So taucht der Codename Grok in von Edward Snowden verfügbar gemachten NSA-Dokumenten auf, als NSA-Werkzeug zur unentdeckten Aufzeichnung von Tastaturanschlägen. Auch der Equation-Grok ist so ein Keylogger. Es gibt eine ganze Reihe weiterer Querverbindungen, darunter die von den Viren-Autoren selbst verwendeten Namen für ihre Schöpfungen. Dort taucht zum Beispiel das Kürzel UR auf, das für Unitedrake stehen könnte, eine aus dem ANT-Katalog bekannte NSA-Software, außerdem mehrere Programme mit dem Adjektiv Straight- im Namen - sie könnten zur Familie der Straightbizarre-Softwareplattform der NSA gehören.

Es könnte auch sein, schreiben die Experten, dass der Stuxnet-Angriff mit einem der jetzt präsentierten Schadprogramme eingeleitet wurde. In den nächsten Tagen wird Kaspersky Labs die bislang gesammelten technischen Informationen veröffentlichen. Schon jetzt haben sich andere Sicherheitsexperten zu Wort gemeldet und eine NSA-Autorenschaft bekräftigt.

Die NSA selbst reagierte mit einer Stellungnahme, nachzulesen etwa bei "Forbes". Der Geheimdienst sei "über den kürzlich veröffentlichten Bericht informiert", werde aber "keine der Behauptungen des Berichts öffentlich kommentieren oder Details daraus diskutieren". Danach folgt ein Absatz, in dem der Geheimdienst auf eine spionagefreundliche Anordnung des US-Präsidenten verweist, und darauf, dass die US-Geheimdienste die USA und ihre Bürger vor Terroranschlägen, Massenvernichtungswaffen, "ausländischer Aggression gegen uns selbst und unsere Verbündeten" und vor "internationalen kriminellen Organisationen" schützen müssten.

fko/cis

Diesen Artikel...
Forum - Diskutieren Sie über diesen Artikel
insgesamt 51 Beiträge
Alle Kommentare öffnen
    Seite 1    
1. Nsa?
Walther Kempinski 17.02.2015
Es gibt keine Beweise, dass es die NSA war. Aber selbst wenn, was ändert das schon an der Gemengenlage? Wenns die NSA nicht macht, machen es in 10 Jahren die Russen, Chinesen oder Inder. Der einzige Schutz dagegen kann nur sein, eine für Behörden und große Konzerne entwickelte EU-Festplatte mit eigener und sicherer Firmware zu entwickeln. Der Preis für solche Festplatten wäre sicherlich hoch. 100 oder 200 Euro mehr pro Platte. Aber dann wäre wenigstens dieses Loch gestopft. Die EU hat sich zu sehr von ausländischen Kräften abhängig gemacht. Abgesehen von SAP und einigen anderen kleineren Firmen, gibt es nur durchschnittlich viel High-Tech Wissen in der EU. Und das was vorhanden ist, wird nicht kanalisiert zur Spionageabwehr. Die tollen Autos die wir produzieren, sind aus dem letzten Jahrhundert. Intel, MS, Apple, google und zig andere Tech-Konzerne hocken in den USA. Wen verwundert es? Ich bin auf die NSA in keinster Weise sauer. Die tun nur ihren Job und greifen zu 90% wohl wirklich nur die Schurkenstaaten wie in der Liste zu sehen war an.
2.
spon-facebook-10000123257 17.02.2015
Ich kaufe mir jetzt glaube ich auch ein russisches Antivirenprogramm, die scheinen ja neben den Chinesen die einzigen zu sein die sich wirklich noch ernsthaft mit der Aufdeckung von US Spionageprogrammen beschäftigen.
3. Was mich beeindruckt, ist...
crewmitglied27 17.02.2015
...das die NSA-Mitarbeiter offenbar keinerlei Unrechtsbewusstsein bei ihrem Handeln haben. Es werden so viele Dinge getan, für die jeder US-Bürger (und aus jedem Land der Welt sonst auch) lebenslänglich in eines der überfüllten Gefängnisse gehen würde. Warum lassen sich die Amerikaner das von ihrer Regierung gefallen? Warum wir auch? Dieses Handeln wird zwangsläufig zum Zusammenbruch der digitalen Welt, wie wir sie kennen, führen müssen.
4. kaspersky -Räuberpistole Nr. 2
labudaw 17.02.2015
nach dem Milliardendiebstahl die nächste Russenente. Putin hat wohl in die Tastatur diktiert.
5. Dem Bericht nach zu folgen Alles wohl wahr
diefreiheitdermeinung 17.02.2015
und so geschehen. Was ich mich allerdings frage: Kaspersky ist eine russische Firma die in Moskau beheimatet ist. Also jenem Land dem wir heute wieder fast jeder Schweinerei zutrauen. Warum sollten wir a) Kaspersky trauen ? b) nicht glauben, dass Kaspersky womöglich eine Front für den FSB ist ? c) nicht von Kaspersky verlangen uns zur Abwechslung mal über die russischen Spionageprogramme aufzuklären. Dies ist keine Verteidigung zugunsten der NSA. Allerdings macht NUR die NSA so etwas ? Ich denke nicht.
Alle Kommentare öffnen
    Seite 1    

© SPIEGEL ONLINE 2015
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH



Zum Autor
  • Felix Knoke schreibt von Berlin aus über elektronische Lebensaspekte und versucht sich vergeblich als Hitproduzent in seinem Wohnzimmerstudio.

Interaktive Grafik
Schad- und Spähsoftware
Klicken Sie auf die Stichworte, um mehr zu erfahren
Trojaner
Wie das Trojanische Pferd in der griechischen Mythologie verbergen Computer-Trojaner ihre eigentliche Aufgabe (und Schädlichkeit!) hinter einer Verkleidung. Meist treten sie als harmlose Software auf: Bildschirmschoner, Videodatei, Zugangsprogramm. Sie werden zum Beispiel als E-Mail-Anhang verbreitet. Wer das Programm startet, setzt damit immer eine verborgene Schadfunktion ein: Meist besteht diese aus der Öffnung einer sogenannten Backdoor , einer Hintertür, die das Computersystem gegenüber dem Internet öffnet und durch die weitere Schadprogramme nachgeladen werden.
Virus
Computerviren befallen vorhandene Dateien auf den Computern ihrer Opfer. Die Wirtsdateien funktionieren – zumindest eine Zeit lang - weiterhin wie zuvor. Denn Viren sollen nicht entdeckt werden. Sie verbreiten sich nicht selbständig, sondern sind darauf angewiesen, dass Computernutzer infizierte Dateien weitergeben, sie per E-Mail verschicken, auf USB-Sticks kopieren oder in Tauschbörsen einstellen. Von den anderen Schad- und Spähprogrammen unterscheidet sich ein Virus allein durch die Verbreitungsmethode. Welche Schäden er anrichtet, hängt allein vom Willen seiner Schöpfer ab.
Rootkit
Das kleine Kompositum führt die Worte "Wurzel" und "Bausatz" zusammen: "Root" ist bei Unix-Systemen der Benutzer mit den Administratorenrechten, der auch in die Tiefen des Systems eingreifen darf. Ein "Kit" ist eine Zusammenstellung von Werkzeugen. Ein Rootkit ist folglich ein Satz von Programmen, die mit vollem Zugriff auf das System eines Computers ausgestattet sind. Das ermöglicht dem Rootkit weitgehende Manipulationen, ohne dass diese beispielsweise von Virenscannern noch wahrgenommen werden können. Entweder das Rootkit enthält Software, die beispielsweise Sicherheitsscanner deaktiviert, oder es baut eine sogenannte Shell auf, die als eine Art Mini-Betriebssystem im Betriebssystem alle verdächtigen Vorgänge vor dem Rechner verbirgt. Das Gros der im Umlauf befindlichen Rootkits wird genutzt, um Trojaner , Viren und andere zusätzliche Schadsoftware über das Internet nachzuladen. Rootkits gehören zu den am schwersten aufspürbaren Kompromittierungen eines Rechners.
Wurm
Computerwürmer sind in der Praxis die getunte, tiefergelegte Variante der Viren und Trojaner. Im strengen Sinn wird mit dem Begriff nur ein Programm beschrieben, das für seine eigene Verbreitung sorgt - und der Programme, die es transportiert. Würmer enthalten als Kern ein Schadprogramm , das beispielsweise durch Initiierung eines eigenen E-Mail-Programms für die Weiterverbreitung von einem befallenen Rechner aus sorgt. Ihr Hauptverbreitungsweg sind folglich die kommunikativen Wege des Webs: E-Mails, Chats, AIMs , P2P-Börsen und andere. In der Praxis werden sie oft als Vehikel für die Verbreitung verschiedener anderer Schadprogramme genutzt.
Drive-by
Unter einem Drive-by versteht man die Beeinflussung eines Rechners oder sogar die Infizierung des PC durch den bloßen Besuch einer verseuchten Web-Seite. Die Methode liegt seit einigen Jahren sehr im Trend: Unter Ausnutzung aktueller Sicherheitslücken in Browsern und unter Einsatz von Scripten nimmt ein auf einer Web-Seite hinterlegter Schadcode Einfluss auf einen Rechner. So werden zum Beispiel Viren verbreitet, Schnüffelprogramme installiert, Browseranfragen zu Web-Seiten umgelenkt, die dafür bezahlen und anderes. Drive-bys sind besonders perfide, weil sie vom PC-Nutzer keine Aktivität (wie das Öffnen einer E-Mail) verlangen, sondern nur Unvorsichtigkeit. Opfer sind zumeist Nutzer, die ihre Software nicht durch regelmäßige Updates aktuell halten - also potenziell so gut wie jeder.
Botnetz
Botnets sind Netzwerke gekidnappter Rechner - den Bots. Mit Hilfe von Trojaner-Programmen, die sie beispielsweise durch manipulierte Web-Seiten oder fingierte E-Mails auf die Rechner einschleusen, erlangen die Botnet-Betreiber Zugriff auf die fremden PC und können sie via Web steuern. Solche Botnets zu vermieten, kann ein einträgliches Geschäft sein. Die Zombiearmeen werden unter anderem genutzt, um millionenfache Spam-Mails zu versenden, durch eine Vielzahl gleichzeitiger Anfragen Web-Seiten in die Knie zu zwingen oder in großem Stile Passwörter abzugrasen. (mehr bei SPIEGEL ONLINE)
Fakeware, Ransomware
Das Wort setzt sich aus "Fake", also "Fälschung", und "Ware", der Kurzform für Software zusammen: Es geht also um "falsche Software" . Gemeint sind Programme, die vorgeben, eine bestimmte Leistung zu erbringen, in Wahrheit aber etwas ganz anderes tun. Häufigste Form: angebliche IT-Sicherheitsprogramme oder Virenscanner. In ihrer harmlosesten Variante sind sie nutzlos, aber nervig: Sie warnen ständig vor irgendwelchen nicht existenten Viren und versuchen, den PC-Nutzer zu einem Kauf zu bewegen. Als Adware-Programme belästigen sie den Nutzer mit Werbung.

Die perfideste Form aber ist Ransomware : Sie kidnappt den Rechner regelrecht, macht ihn zur Geisel. Sie behindert oder verhindert das normale Arbeiten, lädt Viren aus dem Netz und stellt Forderungen auf eine "Reinigungsgebühr" oder Freigabegebühr, die nichts anderes ist als ein Lösegeld: Erst, wenn man zahlt, kann man mit dem Rechner wieder arbeiten. War 2006/2007 häufig, ist seitdem aber zurückgegangen.
Zero-Day-Exploits
Ein Zero-Day-Exploit nutzt eine Software-Sicherheitslücke bereits an dem Tag aus, an dem das Risiko überhaupt bemerkt wird. Normalerweise liefern sich Hersteller von Schutzsoftware und die Autoren von Schadprogrammen ein Kopf-an-Kopf-Rennen beim Stopfen, Abdichten und Ausnutzen bekanntgewordener Lücken.
Risiko Nummer eins: Nutzer
Das größte Sicherheitsrisiko in der Welt der Computer sitzt vor dem Rechner. Nicht nur mangelnde Disziplin bei nötigen Software-Updates machen den Nutzer gefährlich: Er hat auch eine große Vorliebe für kostenlose Musik aus obskuren Quellen, lustige Datei-Anhänge in E-Mails und eine große Kommunikationsfreude im ach so informellen Plauderraum des Webs. Die meisten Schäden in der IT dürften von Nutzer-Fingern auf Maustasten verursacht werden.
DDoS-Attacken
Sogenannte distribuierte Denial-of-Service-Attacken (DDoS) sind Angriffe, bei denen einzelne Server oder Netzwerke mit einer Flut von Anfragen anderer Rechner so lange überlastet werden, bis sie nicht mehr erreichbar sind. Üblicherweise werden für solche verteilten Attacken heutzutage sogenannte Botnetze verwendet, zusammengeschaltete Rechner, oft Tausende oder gar Zehntausende, die von einem Hacker oder einer Organisation ferngesteuert werden.


Anzeige
  • Christian Stöcker:
    Spielmacher

    Gespräche mit Pionieren der Gamesbranche.

    Mit Dan Houser ("Grand Theft Auto"), Ken Levine ("Bioshock"), Sid Meier ("Civilization"), Hideo Kojima ("Metal Gear Solid") u.v.a.

    SPIEGEL E-Book; 2,69 Euro.

  • Bei Amazon kaufen.
Der kompakte Nachrichtenüberblick am Morgen: aktuell und meinungsstark. Jeden Morgen (werktags) um 6 Uhr. Bestellen Sie direkt hier: