Die Sicherheitsforscher ESET haben eine neue Malware entdeckt und sie auf den Namen Lojax getauft . Die Spionage-Software stammt den Mutmaßungen zufolge von der Hackergruppe Sednit (auch Fancy Bear oder APT28 genannt), die sich auf Cyber-Spionage spezialisiert hat. Die Gruppe soll unter anderem für Hacks im Bundestag und bei der Demokratischen Partei der USA verantwortlich sein. Lojax wird laut ESET nur sehr gezielt zu Spionagezwecken eingesetzt. Die Malware wurde von den Sicherheitsexperten unter anderem bei Hacks auf Regierungen in Zentral- und Osteuropa gesichtet.
Bei Lojax handelt es sich um ein so genanntes UEFI-Rootkit und zwar das erste dieser Art in freier Wildbahn. Jean-Ian Boutin, Senior Security Researcher bei ESET äußerte sich folgendermaßen: “Obwohl uns bislang theoretisch bekannt war, dass UEFI-Rootkits existieren, bestätigt unsere Entdeckung nun, dass sie längst verwendet werden. Sie sind daher nicht mehr nur ein interessantes Thema auf Fachkonferenzen, sondern stellen eine reale Bedrohung dar.”
Darum ist Lojax so gefährlich
Für die Infektion ist kein physischer Zugriff auf den Ziel-Rechner notwendig. Grundlage sind bei den Zielpersonen installierte Trojaner, die beispielsweise durch Spear-Phishing-Mails aufgespielt werden. Im Anschluss können die Angreifer über Sicherheitslücken eine modifizierte Firmware mit eigenem UEFI-Code im Flash-Speicher von Windows installieren. Diese ermöglicht weiterhin das Aufspielen von Überwachungssoftware in Windows, bevor das Betriebssytem gestartet wird. So hat die Schadsoftware Zugriff auf den gesamten Rechner und kann beispielsweise den Datenverkehr überwachen oder umleiten.
Malware dieser Art ist besonders schwer zu erkennen und auch eine installierte Anti-Viren-Software ist oft wenig hilfreich. Zudem kann die Schadsoftware eine Windows-Neuinstallation oder sogar einen Festplattentausch überstehen. Laut den Sicherheitsforschern kann einem Befall durch Lojax in der Regel durch ein aktuelles UEFI bzw. BIOS und aktiviertes Secure Boot vorgebeugt werden.
Das Gefährdungspotential von Lojax wird von ESET als extrem hoch eingestuft. Die Sicherheitsforscher warnen vor Angriffen auf Top-Ziele wie Regierungsnetzwerke, Unternehmen und Rüstungskonzerne. Laut ESET kommt erschwerend hinzu, dass es für BIOS bzw. UEFI kaum Updates gäbe und Administratoren oft schlecht über diese informiert seien. Da es sich bei Lojax um den ersten Angriff dieser Art handle, gibt es auch wenig Erfahrung auf die man zurückgreifen könne.
Autor: Denise Bergert, Autorin
Denise Bergert schreibt seit 2011 als freie IT-Journalistin für pcwelt.de. Ihre Themenschwerpunkte sind Smartphones, Internet, Gaming, Gadgets, Filme, Serien und Security.