Als sich vor drei Jahren sein MacBook Air ohne vorheriger Nachfrage selbst ein BIOS-Update verpasste, begann für Sicherheitsberater Dragos Ruiu die Konfrontation mit einem bislang unbeobachteten Typus von Malware. Ars Technica berichtet.

Nach dem Update konnte der Laptop nicht mehr über ein externes Laufwerk von einer CD starten und machte Konfigurationsänderungen von selbst wieder rückgängig. In den nächsten Monaten folgten weitere unerklärliche Phänomene.

Verschiedene Systeme befallen

Ein weiterer Rechner, ausgestattet mit OpenBSD, fing ebenfalls an, Einstellungen am System vorzunehmen und Daten ohne Bestätigungsdialog zu entfernen. Er übermittelte Daten via IPv6 – auch an Rechner, bei welchen dieses Protokoll eigentlich deaktiviert war. Infizierte Rechner tauschten untereinander kleine Datenmengen aus, selbst wenn sie nur im Akkubetrieb liefen, kein LAN-Kabel angeschlossen und die WLAN- und Bluetooth-Module entfernt waren. Der unbekannte Schädling nistete sich schließlich auch auf verschiedenen Windows- und Linuxrechnern ein.

"Wir haben gedacht: 'Okay, wir sind erledigt'", sagt Ruiu gegenüber Ars Technica. "Wir müssen alle Systeme löschen und neu anfangen". Und das geschah schließlich auch. Binnen Wochen begann das seltsame Verhalten der Rechner allerdings erneut.

Schließlich wurde einer der Rechner völlig isoliert. Also von allen Möglichkeiten für Netzwerkkonnektivität befreit – man spricht dabei auch von einem "Airgap". Das BIOS wurde neu aufgespielt, eine neue Festplatte eingesetzt und Windows neu installiert. Trotzdem: Während man im Registry-Editor dabei war, Einstellungen vorzunehmen, wurde plötzlich die Suchfunktion des Programms deaktiviert.

Kommunikation per Schall möglich

Ruiu hat nun eine Theorie aufgestellt. Die Malware, getauft "badBIOS", könnte über USB-Laufwerke übertragen werden und Rechner auf den niedrigsten Hardware-Leveln infizieren. Möglicherweise ist die Malware auch in der Lage, über die Erzeugung hochfrequenter Schallsignale mit anderen in Austausch zu treten.

Ein weiterer Verdacht ist, dass befallene Rechner selbständig neu angeschlossene USB-Sticks infizieren können, in dem sie den Flash Controller umprogrammieren. Werden diese wo anders angesteckt, könnten sie etwa mit Hilfe eines Pufferüberlaufs das BIOS des Rechners manipulieren und das Spiel beginnt von vorne.

Wie man bei ArsTechnica anmerkt, fehlt es noch am Peer Review seiner Erkenntnisse. Allerdings assistieren ihm mittlerweile eine Reihe anderer Sicherheitsexperten bei seinen Untersuchungen. Unklar ist, wieso ausgerechnet er Opfer einer solchen Malwareinfektion geworden ist. Als Organisator von Sicherheitskonferenzen wie der CansecWest, PacSec und Gründer der Pwn2Own-Competition gibt er zwar ein attraktives Ziel ab, hat aber auch eine Reihe von Kollegen, über die sich das Gleiche sagen lässt.

Malware scheint "Airgaps" zu überbrücken

Abseits von seinen Rechnern wurde Malware dieser Art noch nie beobachtet. Möglich ist eine Datenübertragung per Ultraschall allerdings. Frühe Netzwerkstandards verwendeten diesen Übertragungsweg bereits, im MIT laufen nach wie vor Forschungen dazu. Auch andere Malware konnte bereits "Airgaps" überwinden, etwa "Flame", dass sich per Bluetooth auf Geräten einnisten konnte, die nicht mit dem Internet verbunden waren.

Für die Annahme, badBIOS würde Datenpakete per Ultraschall verschicken, gibt es zwar noch keinen hundertprozentigen Beweis, wohl aber Anhaltspunkte. So konnte Ruiu auf einem befallenen Notebook Netzwerkkommunikation nachweisen, obwohl weder Bluetooth-, noch Wifi-Hardware vorhanden war und das Gerät nicht am Strom hing.

Die eingehenden Datenpakete dürften von einem zweiten infizierten Rechner im Raum ausgegangen sein. Erst nach Entfernung des internen Lautsprechers und Mikrofons brach der rätselhafte Informationsfluss ab. Davor nutzt badBIOS diese Anbindung offenbar, um über den zweiten Rechner seine eigene Systemintegrität auf dem gerade verwendeten Laptop zu erhalten.

Beunruhigt

Wenngleich sich noch nicht viel über die neue Malware sagen lässt, zeigen sich die Sicherheitsexperten beunruhigt. "Es sieht so aus, als wäre der aktuelle Stand in Sachen Computereinbruch weiter fortgeschritten, als wir angenommen haben", meint Ruiu, der die Ereignisse weiter auf Google+ dokumentiert. Aktuelle forensische Methoden zur Erforschung von Schadsoftware seien für Fälle wie diesen kaum geeignet.

Update: Weitere Kritik

Mittlerweile haben sich auch zahlreiche Kritiker eingefunden, die teilweise die Schilderungen oder Vermutungen von Ruiu für unhaltbar erklären - wenngleich Ruiu bislang nicht dafür bekannt ist, Falschmeldungen oder übertriebene Warnungen auszugeben. Auf Rootwyrm.com erklärt beispielsweise der IT-Spezialist philip Jaenke, wieso er es als unmöglich ansieht, dass die Malware auf BIOS-Ebene agiert. Auch Sophos-Experte Paul Ducklin zeigt sich skeptisch. Ruiu hat angeboten, dem Antivirenhersteller Samples der Malware zur Untersuchung zu übermitteln. (red, derStandard.at, 04.11.2013)