Bei „Lojax“ handelt es sich nicht um eine der plüschigen Figuren Dr. Seuss‘ – ganz im Gegenteil. Der Name beschreibt einen neuen Virus, den Cyber-Sicherheitsforscher als extrem gefährlich einstufen. Experten der slowakischen IT-Sicherheitsfirma ESET entdeckten das Rootkit als weltweit erstes seiner Art – denn Lojax greift direkt die Firmware des Mainboards (UEFI/BIOS) eines PCs an.
Rootkit Lojax nistet sich unbemerkt ein
Die Firmware stellt genau den Teil deines Computers dar, der alles für einen erfolgreichen Start bereithält. So ist sie unter anderem dafür verantwortlich, dass das Betriebssystem geladen wird. Dafür benötigt die Firmware jedoch eine Schnittstelle zu besagtem System: das UEFI (Unified Extensible Firmware Interface). Das Interface ersetzt heutzutage das früher vorrangig genutzte BIOS (Basic Input/Output System) und kann Angreifern dazu dienen, schädliche Module in das System einzuschleusen.
Rootkit Lojax nutzt das UEFI, um sich im Speicher der Hauptplatine einzunisten und kann auf diese Weise die vollständige Kontrolle über den befallenen Rechner übernehmen. Experten ESETs sprechen bei der neuartigen Malware von einer ernstzunehmenden Bedrohung. So könne man beispielsweise die gesamte Festplatte leer räumen und hätte das Problem damit noch immer nicht behoben. Noch dazu wäre lediglich ein Antiviren-Programm mit integriertem UEFI-Scanner dazu in der Lage, den Schädling aufzuspüren.
Gemeinsam mit dem Schadprogramm kommen zudem weitere Tools. Sie sollen die Firmware aufspüren und den SPI-Speicher überschreiben, um ein eigenes, schädliches UEFI-Modul zu implementieren. Daher sei ein „anfälliger oder falsch konfigurierter“ SPI-Speicherschutz das „ultimative Ziel“ für Lojax – das Beschreiben die Sicherheitsforscher in ihrem Whitepaper zu dem Trojaner.
Regierungsnetzwerke in Gefahr
Vermutet wird hinter dem Virus die Hackergruppe „Sednit“ (Alias: „APT28“, „Sofacy“, „Strontium“, „Fancy Bear“). Das Kollektiv sorgte zuletzt mit seinem Angriff auf das US-Justizministerium sowie diversen weiteren Attacken für Schlagzeilen und soll bereits mindestens seit 2004 agieren. Grund für den Verdacht seien die C&C-Server, an die der Trojaner senden soll. Sie seien bereits im Rahmen vorangegangener Sednit-Attacken zum Einsatz gekommen.
Das Hackerkollektiv habe es mit seinem Virus vor allem auf politische Cyberspionage und Sabotage abgesehen und bringt ein entsprechend hohes Gefährdungspotential mit sich. Regierungsnetzwerke könnten daher das vorrangige Ziel der Cyberspione darstellen – Großunternehmen belegen im Gefährdungsranking lediglich den zweiten Platz.