Schadprogramme verstecken In der UEFI-Firmware eines Computers ist der tief verwurzelte Code, der einem PC sagt, wie er sein Betriebssystem laden soll, zu einem heimtückischen Trick im Werkzeugkasten heimlicher Hacker geworden. Aber wenn ein Motherboard-Hersteller seine eigene versteckte Hintertür in die Firmware von Millionen von Computern einbaut – und diesen versteckten Hintereingang nicht einmal richtig verriegelt – erledigt er praktisch Hackerarbeit für ihn.
Forscher des auf Firmware spezialisierten Cybersicherheitsunternehmens Eclypsium gaben heute bekannt, dass sie einen versteckten Mechanismus in der Firmware von Motherboards des taiwanesischen Herstellers Gigabyte entdeckt haben, dessen Komponenten häufig in Gaming-PCs und anderen Hochleistungscomputern verwendet werden. Immer wenn ein Computer mit dem betroffenen Gigabyte-Motherboard neu startet, startet Eclypsium heraus, dass Code in der Firmware des Motherboards unsichtbar ein Updater-Programm initiiert, das auf dem Computer ausgeführt wird und wiederum eine andere Software herunterlädt und ausführt.
Während Eclypsium sagt, dass der versteckte Code ein harmloses Werkzeug sein soll, um die Firmware des Motherboards auf dem neuesten Stand zu halten, stellten die Forscher fest, dass er unsicher implementiert ist, was es möglicherweise ermöglicht, den Mechanismus zu kapern und zur Installation von Malware anstelle des von Gigabyte vorgesehenen Programms zu verwenden. Und da das Updater-Programm von der Firmware des Computers außerhalb des Betriebssystems ausgelöst wird, ist es für Benutzer schwierig, es zu entfernen oder gar zu entdecken.
„Wenn Sie eine dieser Maschinen haben, müssen Sie sich darüber Sorgen machen, dass sie sich im Grunde etwas aus dem Internet schnappt und ohne Ihr Zutun ausführt und nichts davon sicher erledigt hat“, sagt John Loucaides, der für die Strategie verantwortlich ist und Forschung bei Eclypsium. „Das Konzept, sich hinter den Endbenutzer zu stellen und dessen Maschine zu übernehmen, gefällt den meisten Menschen nicht.“
In seinem Blogbeitrag über die ForschungEclypsium listet 271 Modelle von Gigabyte-Motherboards auf, von denen Forscher sagen, dass sie betroffen sind. Loucaides fügt hinzu, dass Benutzer, die sehen möchten, welches Motherboard ihr Computer verwendet, dies überprüfen können, indem sie in Windows auf „Start“ und dann auf „Systeminformationen“ gehen.
Eclypsium gab an, den versteckten Firmware-Mechanismus von Gigabyte gefunden zu haben, als es die Computer von Kunden nach Firmware-basiertem Schadcode durchsuchte, einem immer häufiger vorkommenden Tool, das von raffinierten Hackern eingesetzt wird. Im Jahr 2018 wurde beispielsweise festgestellt, dass Hacker, die im Auftrag des russischen Militärgeheimdienstes GRU arbeiteten, als Spionagetaktik stillschweigend die Firmware-basierte Anti-Diebstahl-Software LoJack auf den Computern der Opfer installierten. Zwei Jahre später wurden staatlich geförderte chinesische Hacker dabei gesichtet, wie sie ein Firmware-basiertes Spyware-Tool, das von der Hacker-Mietfirma Hacking Team entwickelt wurde, umfunktionierten, um die Computer von Diplomaten und NGO-Mitarbeitern in Afrika, Asien und Europa ins Visier zu nehmen. Die Forscher von Eclypsium waren überrascht, als ihre automatisierten Erkennungsscans den Updater-Mechanismus von Gigabyte für die gleichen zwielichtigen Verhaltensweisen wie diese staatlich geförderten Hacking-Tools aufspürten: Sie versteckten sich in der Firmware und installierten stillschweigend ein Programm, das Code aus dem Internet herunterlädt.
Allein der Updater von Gigabyte könnte Bedenken bei Benutzern hervorgerufen haben, die Gigabyte nicht vertrauen, dass er mit einem nahezu unsichtbaren Tool stillschweigend Code auf ihrem Computer installiert – oder die befürchten, dass der Mechanismus von Gigabyte von Hackern ausgenutzt werden könnte, die den Motherboard-Hersteller kompromittieren, um seinen versteckten Zugriff auszunutzen ein Angriff auf die Software-Lieferkette. Eclypsium stellte jedoch auch fest, dass der Update-Mechanismus mit eklatanten Schwachstellen ausgestattet war, die eine Kaperung ermöglichen könnten: Er lädt Code auf den Computer des Benutzers herunter, ohne ihn ordnungsgemäß zu authentifizieren, manchmal sogar über eine ungeschützte HTTP-Verbindung statt HTTPS. Dies würde es ermöglichen, die Installationsquelle durch einen Man-in-the-Middle-Angriff zu fälschen, der von jedem ausgeführt wird, der die Internetverbindung des Benutzers abfangen kann, beispielsweise ein betrügerisches Wi-Fi-Netzwerk.