Durch Unterlagen aus dem Fundus von Edward Snowden ist eine weitere Maßnahme des US-Auslandsgeheimdiensts National Security Agency (NSA) im Detail bekannt geworden. Im Rahmen des Projekts „Deitybounce“ wurde das BIOS von Dells Poweredge-Servern gehackt, um auf solchen Systemen regelmäßig Code ausführen zu können. Darauf weist Sicherheitsexperte Bruce Schneier hin.
NSA-Programm Deitybounce (Bild via Leaksource)Das durchgesickerte Dokument datiert von 2007 – ist also gleich alt wie die Unterlagen zum iPhone-Schnüffelprogramm der NSA. Als Voraussetzungen nennt die NSA „Microsoft Windows 2000, 2003 oder XP. Derzeit sind Dell-Server der Typen PowerEdge 1850/2850/1950/2950 RAID das Ziel, mit den BIOS-Versionen A02, A05, A06, 1.1.0, 1.2.0 oder 1.3.7.“
Der Angriff wurde manuell durchgeführt, über ein USB-Laufwerk. Offenbar nutzte die NSA Autorun-Fehler, wie sie auch den Stuxnet-Angriff auf das Atomforschungsprogramm des Iran ermöglichten, das mutmaßlich von den Vereinigten Staaten sowie Israel ausging. Ist das BIOS erst einmal wunschgemäß manipuliert, fügt es bei jedem Boot auszuführenden Code ins Server-Betriebssystem ein.
Das Ziel der Operation definiert das Dokument wie folgt: Deitybounce „sorgt für dauerhafte Präsenz von Software-Applikationen auf Dell-Poweredge-Servern, indem Motherboard-BIOS und System Management Mode genutzt werden, um regelmäßig Code auszuführen, den das Betriebssystem lädt.“ Das beschriebene Verfahren wäre heute nicht so leicht einzusetzen wie 2007. ZDNet.com-Autor Larry Seltzer verweist auf die mittlerweile für Secure Boot nötige Authentifizierung, um ein BIOS zu flashen. Dell und Microsoft hätten UEFI und Secure Boot doch schon Jahre im Einsatz, schreibt er, und für Windows 8 sei der Einsatz dieser Techniken Standard. Schneier geht aber davon aus, dass die Malware seither ebenfalls weiterentwickelt wurde.
Deitybounce kommt aus dem NSA-Produktkatalog ANT, was für „Advanced“ oder auch „Access Network Technology“ steht. Die Verantwortung dafür trägt eine Abteilung namens „Office of Tailored Access Operations“, kurz TAO, die dem Geheimdienst Zugang zu schwer zugänglichen Computersystemen verschaffen soll. Das Magazin Spiegel hat sie diese Woche ausführlich vorgestellt.
Dell, das auch dort schon genannt wurde, reagierte auf die Spiegel-Veröffentlichung mit einer eindeutigen Erklärung, man arbeite mit keiner Regierung der Welt zusammen, um eigene Produkte zu kompromittieren. Laut den Unterlagen, auf denen der Spiegel-Bericht basiert, hat die NSA aber an einem unbekannten Punkt in die Lieferkette eingegriffen, um das BIOS zu verändern.
[mit Material von Larry Seltzer, ZDNet.com]
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…