Kaspersky hat Ziele in über 30 Ländern ausgemacht.
Aufs Konto der "Equation Group" geht auch ein Wurm namens Fanny.
Die NSA soll Spionagesoftware auf den Festplatten bekannter Hersteller wie Seagate, Toshiba und Western Digital installiert haben. Dadurch sei es dem Geheimdienst möglich, Nutzer über praktisch jeden Computer zu überwachen. Das russische Sicherheitsunternehmen Kaspersky Lab hat die Aktionen auf die sogenannte "Equation Group" zurückgeführt, die mit der NSA in Verbindung stehen soll.
Infizierte Rechner in 30 Ländern
Kaspersky hat PCs in 30 Ländern gefunden, die mit einem oder mehreren Spionage-Tools dieser Gruppe infiziert seien. Die meisten Spyware-Infektionen hat das Unternehmen im Iran, in Russland, Pakistan, Afghanistan, China, Mali, Syrien, Jemen und Algerien identifiziert. Zu den Zielen gehören neben Regierungs- und Militäreinrichtungen unter anderem auch Telekommunikationsfirmen, Banken, Energieversorger, Nuklearforscher, Medien und islamistische Aktivisten.
Die Spionage-Software wurde demnach direkt in die Firmware der Festplatten eingeschleust. Die Angreifer können sich so vollen Zugriff auf die Rechner verschaffen. Derart platzierte Malware kann sich immer wieder herstellen, das Löschen von Festplattenbereichen verhindern oder diese bei einem Computerneustart durch einen anderen ersetzen.
Die Sicherheitsforscher haben zwei Module entdeckt, mit denen die Manipulation der Festplatten-Firmware von über einem Dutzend Herstellern möglich ist. "Dies ist vielleicht das stärkste Werkzeug im Arsenal der Equation Group und die erste bekannte Malware, die direkt Festplatten infiziert", heißt es in dem Bericht.
Zugriff auf Firmware
Dafür müssen die Entwickler des Tools Zugriff auf den proprietären Source Code der Firmware gehabt haben. Western Digital, Seagate und Micron sagten zur Nachrichtenagentur Reuters, dass sie keine Kenntnis von solchen Spionageprogrammen haben. Toshiba und Samsung wollten dazu keine Stellungnahme abgeben. IBM hat auf eine Anfrage nicht reagiert. Ein Sprecher von Western Digital dementierte, dass das Unternehmen US-Behörden Zugriff auf den Source Code gegeben habe.
Zugriff auf den Source Code könnte sich die NSA auf mehreren Wegen verschafft haben. Etwa, wenn Unternehmen Produkte an das Pentagon verkaufen. Diese müssen dann aufgrund der Sicherheitsbestimmungen intern geprüft werden, sagte ein ehemaliger NSA-Analyst zu Reuters. Auch ist es denkbar, dass Mitarbeiter in die Firmen als Softwareentwickler eingeschleust wurden.
Ins Repertoire der bereits seit 2001 aktiven "Equation Group" fallen laut Kaspersky noch weitere Tools zur Spionage. Dazu zählen die Manipulation von Websites, infizierte USB-Sticks und ein Computerwurm namens Fanny. Der Wurm steche dabei ebenfalls besonders hervor. "Dessen Hauptzweck ist es, 'Air Gapped'-Netzwerke abzubilden – also die Topologie eines Netzwerkes, das nicht über eine Leitung erreichbar ist, zu erfassen", so die Forscher. Wird ein manipulierter USB-Stick an einen von Fanny infizierten und mit dem Internet verbundenen Rechner angeschlossen, können Angreifer Befehle in isolierten Systemen ausführen.
Verbindungen zu NSA
Kaspersky selbst hat nicht geäußert, dass die NSA bzw. die USA hinter der "Equation Group" stehen. Allerdings wurden Verbindungen zum Stuxnet-Virus entdeckt, das von der NSA in Zusammenarbeit mit Israel entwickelt worden sein soll. Das zeigen Informationen von Edward Snowden und Recherchen des Wired-Journalisten Kim Zetter. "Es gibt zuverlässige Hinweise darauf, dass die Equation Group mit anderen einflussreichen Gruppen wie beispielsweise mit den Betreibern von Stuxnet und Flame interagiert – wobei die Equation Group offenbar eine führende Position inne hatte", heißt es im Kaspersky-Report.
Gegenüber der Nachrichtenagentur Reuters bestätigten zudem zwei ehemalige Geheimdienstmitarbeiter, dass die Informationen des Sicherheitsunternehmens korrekt sind und die NSA tatsächlich eine Technologie entwickelt hat, um Spyware auf Festplatten zu verstecken. Eine NSA-Sprecherin wollte den Bericht nicht kommentieren. (Birgit Riegler, derStandard.at 17.2.2015)