NSA hackte BIOS von Dells Poweredge-Servern

Das Programm hieß zumindest 2007 noch "Deitybounce". Die Systeme wurden zu einem unbekannten Zeitpunkt via USB-Laufwerk manipuliert. Ziel war es, bei jedem Bootvorgang Code ausführen zu können und so dauerhaft Kontrolle über die Server zu bekommen.

Durch Unterlagen aus dem Fundus von Edward Snowden ist eine weitere Maßnahme des US-Auslandsgeheimdiensts National Security Agency (NSA) im Detail bekannt geworden. Im Rahmen des Projekts „Deitybounce“ wurde das BIOS von Dells Poweredge-Servern gehackt, um auf solchen Systemen regelmäßig Code ausführen zu können. Darauf weist Sicherheitsexperte Bruce Schneier hin.

NSA-Programm Deitybounce (Bild via Leaksource)

Das durchgesickerte Dokument datiert von 2007 – ist also gleich alt wie die Unterlagen zum iPhone-Schnüffelprogramm der NSA. Als Voraussetzungen nennt die NSA „Microsoft Windows 2000, 2003 oder XP. Derzeit sind Dell-Server der Typen PowerEdge 1850/2850/1950/2950 RAID das Ziel, mit den BIOS-Versionen A02, A05, A06, 1.1.0, 1.2.0 oder 1.3.7.“

Der Angriff wurde manuell durchgeführt, über ein USB-Laufwerk. Offenbar nutzte die NSA Autorun-Fehler, wie sie auch den Stuxnet-Angriff auf das Atomforschungsprogramm des Iran ermöglichten, das mutmaßlich von den Vereinigten Staaten sowie Israel ausging. Ist das BIOS erst einmal wunschgemäß manipuliert, fügt es bei jedem Boot auszuführenden Code ins Server-Betriebssystem ein.

Das Ziel der Operation definiert das Dokument wie folgt: Deitybounce „sorgt für dauerhafte Präsenz von Software-Applikationen auf Dell-Poweredge-Servern, indem Motherboard-BIOS und System Management Mode genutzt werden, um regelmäßig Code auszuführen, den das Betriebssystem lädt.“ Das beschriebene Verfahren wäre heute nicht so leicht einzusetzen wie 2007. ZDNet.com-Autor Larry Seltzer verweist auf die mittlerweile für Secure Boot nötige Authentifizierung, um ein BIOS zu flashen. Dell und Microsoft hätten UEFI und Secure Boot doch schon Jahre im Einsatz, schreibt er, und für Windows 8 sei der Einsatz dieser Techniken Standard. Schneier geht aber davon aus, dass die Malware seither ebenfalls weiterentwickelt wurde.

Deitybounce kommt aus dem NSA-Produktkatalog ANT, was für „Advanced“ oder auch „Access Network Technology“ steht. Die Verantwortung dafür trägt eine Abteilung namens „Office of Tailored Access Operations“, kurz TAO, die dem Geheimdienst Zugang zu schwer zugänglichen Computersystemen verschaffen soll. Das Magazin Spiegel hat sie diese Woche ausführlich vorgestellt.

Dell, das auch dort schon genannt wurde, reagierte auf die Spiegel-Veröffentlichung mit einer eindeutigen Erklärung, man arbeite mit keiner Regierung der Welt zusammen, um eigene Produkte zu kompromittieren. Laut den Unterlagen, auf denen der Spiegel-Bericht basiert, hat die NSA aber an einem unbekannten Punkt in die Lieferkette eingegriffen, um das BIOS zu verändern.

[mit Material von Larry Seltzer, ZDNet.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Themenseiten: Dell, National Security Agency, Secure-IT, Server, Überwachung

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

3 Kommentare zu NSA hackte BIOS von Dells Poweredge-Servern

Kommentar hinzufügen
  • Am 4. Januar 2014 um 20:44 von Judas Ischias

    Wer sollte denn verklagt werden? Irgendjemand aus der Regierung? Wird nie stattfinden, wahrscheinlich noch nicht mal in der Art des Kasperletheaters, wie bei der Iran-Contra-Affäre. Irgendjemand von den Schlapphutträgern? Die Leute sind zu wichtig für die nationale Sicherheit, die USA haben schließlich zu viele Feinde, da kann man auf keinen Agenten verzichten. Ausserdem könnten Geheimnisse zu Tage treten, die schädlich für die USA wären.(Wird ja IMMER mit nationaler Sicherheit begründet).
    Die Antwort wurde mit dem letzten Satz schon gegeben, leider ist es tatsächlich so, wer an der Macht ist, bestimmt was Recht ist, auch in „the land of the free“.

  • Am 4. Januar 2014 um 6:48 von dieseits

    An die Staatsanwälte.
    Wo Verbleibt hier eine Anklage.
    Oder, ist Recht nicht Rechtens?

  • Am 3. Januar 2014 um 12:24 von Judas Ischias

    Also doch die vermutete Infiltrierung von NSA-Mitarbeitern vor Ort bei der Herstellung, oder ein „kleiner Umweg“ an eine spezielle Bearbeitungsstelle, bevor die Teile in den Handel gelangen!?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *