Veröffentlicht inDigital Life

Trojaner der nächsten Generation: Diesen Virus werdet ihr nicht mehr los

Der neu entdeckte Computervirus „Lojax“ nistet sich so ein, dass herkömmliche Scanner keine Chance haben, ihn zu entdecken. Experten halten ihn für extrem gefährlich.

Virenschutz
Wie Malware Sicherheitssoftwares austrickst Foto: imago/Christian Ohde

Bei „Lojax“ handelt es sich nicht um eine der plüschigen Figuren Dr. Seuss‘ – ganz im Gegenteil. Der Name beschreibt einen neuen Virus, den Cyber-Sicherheitsforscher als extrem gefährlich einstufen. Experten der slowakischen IT-Sicherheitsfirma ESET entdeckten das Rootkit als weltweit erstes seiner Art – denn Lojax greift direkt die Firmware des Mainboards (UEFI/BIOS) eines PCs an.

Rootkit Lojax nistet sich unbemerkt ein

Die Firmware stellt genau den Teil deines Computers dar, der alles für einen erfolgreichen Start bereithält. So ist sie unter anderem dafür verantwortlich, dass das Betriebssystem geladen wird. Dafür benötigt die Firmware jedoch eine Schnittstelle zu besagtem System: das UEFI (Unified Extensible Firmware Interface). Das Interface ersetzt heutzutage das früher vorrangig genutzte BIOS (Basic Input/Output System) und kann Angreifern dazu dienen, schädliche Module in das System einzuschleusen.

Rootkit Lojax nutzt das UEFI, um sich im Speicher der Hauptplatine einzunisten und kann auf diese Weise die vollständige Kontrolle über den befallenen Rechner übernehmen. Experten ESETs sprechen bei der neuartigen Malware von einer ernstzunehmenden Bedrohung. So könne man beispielsweise die gesamte Festplatte leer räumen und hätte das Problem damit noch immer nicht behoben. Noch dazu wäre lediglich ein Antiviren-Programm mit integriertem UEFI-Scanner dazu in der Lage, den Schädling aufzuspüren.

Mehr zum Thema:

Gemeinsam mit dem Schadprogramm kommen zudem weitere Tools. Sie sollen die Firmware aufspüren und den SPI-Speicher überschreiben, um ein eigenes, schädliches UEFI-Modul zu implementieren. Daher sei ein „anfälliger oder falsch konfigurierter“ SPI-Speicherschutz das „ultimative Ziel“ für Lojax – das Beschreiben die Sicherheitsforscher in ihrem Whitepaper zu dem Trojaner.

Regierungsnetzwerke in Gefahr

Vermutet wird hinter dem Virus die Hackergruppe „Sednit“ (Alias: „APT28“, „Sofacy“, „Strontium“, „Fancy Bear“). Das Kollektiv sorgte zuletzt mit seinem Angriff auf das US-Justizministerium sowie diversen weiteren Attacken für Schlagzeilen und soll bereits mindestens seit 2004 agieren. Grund für den Verdacht seien die C&C-Server, an die der Trojaner senden soll. Sie seien bereits im Rahmen vorangegangener Sednit-Attacken zum Einsatz gekommen.

Das Hackerkollektiv habe es mit seinem Virus vor allem auf politische Cyberspionage und Sabotage abgesehen und bringt ein entsprechend hohes Gefährdungspotential mit sich. Regierungsnetzwerke könnten daher das vorrangige Ziel der Cyberspione darstellen – Großunternehmen belegen im Gefährdungsranking lediglich den zweiten Platz.

Du willst mehr von uns lesen? Folge uns auf Google News.