Gefährliches UEFI-Rootkit in Asus- und Gigabyte-Firmware entdeckt
Sicherheitsexperten von Kaspersky warnen jetzt vor UEFI-Rootkits, die speziell auf Gigabyte- und Asus-Mainboards abzielen. Im Hintergrund sollen dabei chinesische Hackergruppen arbeiten, die seit mindestens 2016 ihre Malware in Firmware verstecken.
Das meldet das Online-Magazin Bleeping Computer. Dort hat man versucht, Licht in diese Angriffe zu bringen, die über Gigabyte- und Asus-Mainboards gestartet werden.
Das Ganze ist wie ein kleines Déjà-vu, denn schon vor rund fünf Jahren gab es zumindest für Gigabyte Berichte über Schwachstellen im BIOS/UEFI, über die Malware in Geräte eingeschleust wurde. Jetzt hat man ein ähnliches Problem entdeckt.
Forscher von Kaspersky haben die Bedrohung "CosmicStrand" genannt. Angst vor dem Rootkit muss man jetzt als Nutzer eines solchen Mainboards nicht zwingend haben. Laut dem Bericht ist unklar, wie es dem derzeit noch unbekannten Bedrohungsakteur gelungen ist, das Rootkit in die Firmware-Images der Zielcomputer zu injizieren.
Dazu ist zumindest ein einmaliger direkter Zugriff auf die Rechner nötig, glaubt Kaspersky. Gefunden wurde die Malware bisher ausschließlich auf bestimmten Computern mit Asus- und Gigabyte-Motherboards. Kaspersky fand das CosmicStrand UEFI-Rootkit in Firmware-Images von Gigabyte- oder Asus-Motherboards, die den H81-Chipsatz verwenden. Dabei handelt es sich um alte Hardware aus den Jahren 2013 bis 2015. Die betroffenen Geräte waren gebraucht gekauft worden. Dabei könnte es sein, dass sie vor dem erneuten Verkauf mit dem Rootkit bestückt wurden.
Gefahr eines UEFI-Rootkits
Der UEFI-Code wird während des PC-Bootvorgangs als Erstes ausgeführt, noch vor dem Betriebssystem und den verfügbaren Sicherheitslösungen. Daher ist ein solcher Angriff schwer im Keim zu ersticken, denn Antivirenprogramme werden erst nach dem Rootkit gestartet und vielfach von ihnen einfach ausgehebelt. Malware, die in das UEFI-Firmware-Image eingeschleust wird, ist nicht nur schwer zu identifizieren, sondern auch extrem hartnäckig, da sie nicht durch eine Neuinstallation des Betriebssystems oder einen Austausch des Speicherlaufwerks entfernt werden kann. Über die zugrundeliegenden Schwachstellen wurde noch nicht informiert.
