Equation Group

Spionage-Malware infiziert Festplatten-Firmware

Die Sicherheitsexperten von Kaspersky Lab haben eine neue Reihe von Spionage-Trojanern entdeckt, die auf der ganzen Welt Rechner infiziert haben sollen - unter anderem auch durch Angriffe auf Festplatten-Firmware. Die "Equation Group" getauften Urheber sollen in Verbindung mit den Stuxnet-Angreifern stehen. Ein Hinweis auf die NSA?

Equation Group - Infografik

© Kaspersky Lab

Equation Group - Infografik

Die nun von Kaspersky Lab gefundene Malware schreiben die Sicherheitsexperten einer Gruppe zu, die sie nach einer verwendeten Verschlüsselung "Equation" getauft haben. Das Ausmaß des neu entdeckten Spionageangriffs soll dabei alles Dagewesene in den Schatten stellen. In ihrem Blogartikel zu Equation bezeichnet Kaspersky die Gruppe gar als "Todesstern der Malware-Galaxie" und den "Gott der Cyberspionage".

Equation soll für seine Angriffe eine ganze Reihe von Spionage-Trojanern genutzt haben, die von ihnen selbst als "Implantate" bezeichnet werden. Kaspersky vergab für die entdeckte Malware die Namen Equationlaser, Equationdrug, Doublefantasy, Triplefantasy, Fanny und Grayfish.

Als besonders gefährlich bezeichnet Kaspersky ein Modul mit dem Namen "nls_933w.dll", über das die Equation Group die Firmware von Festplatten modifiziert haben soll. Betroffen seien über ein Dutzend Hersteller inklusive der Branchengrößen Seagate und Western Digital.

Angegriffen werden von der Equation Group nicht nur Windows-PCs sondern vermutlich auch Computer mit Mac OS X. Auch gibt es Hinweise auf infizierte iPhones. Eine erhöhte Gefahr für Privatanwender durch Malware der Equation Group sollte jedoch eher unwahrscheinlich sein, da die Gruppe ihre Opfer laut Kaspersky mit "chirurgischer Präzision" auswähle. Über den Trojaner Doublefantasy überprüfe sie, ob ein infizierter Rechner für einen Angriff interessant sei. Ist das nicht der Fall, werde das System wieder bereinigt.

Für Aufsehen sorgt eine wahrscheinliche Verbindung zwischen der Equation Group und den Urhebern der Stuxnet-Malware. So soll der 2008 eingesetzte Fanny getaufte Trojaner unter anderem zwei Zero-Day-Exploits genutzt haben, die später auch bei den Stuxnet-Angriffen zum Einsatz kamen. Die Vermutung liegt nahe, dass es sich bei Equation also um ein weiteres Spionageprojekt des US-Geheimdienstes NSA handeln könnte.

Nach den Recherchen von Kaspersky ist die Equation Group mindestens seit 2001 aktiv und soll seitdem tausende, vielleicht sogar zehntausende PCs in der ganzen Welt infiziert haben. Im Fokus seien dabei Ziele aus Regierung, Diplomatie, Telekommunikation, Luftfahrt, Energie, Nuklearforschung, Öl, Gas, Militär, Nanotechnologie, islamische Aktivisten und Gelehrte, Massenmedien, Transport, Finanzinstitutionen und Firmen, die an Verschlüsselungstechnologien arbeiten.

Die Angriffe von Equation sollen sich dabei vor allem auf die Länder Iran, Russland, Paksitan, Afghanistan, Indien, China, Syrien und Mali konzentriert haben. Doch auch in Deutschland sollen laut Kaspersky unter anderem Telekommunikationseinrichtungen betroffen gewesen sein. Die Command-and-Control-Infrastruktur, über die die Angriffe gesteuert wurden, soll sich auf über 300 Domains und mehr als 100 Server erstrecken, die in verschiedenen Ländern stehen.

In den kommenden Tagen will Kaspersky Lab weitere Details zu Equation veröffentlichen. Bereits jetzt stellt man im PDF-Dokument "Equation Group: Questions and Answers" ausführlichere Details vor und beantwortet die wichtigsten Fragen.

Mehr lesen

Ratgeber: "Mobiler Datenschutz"

Mehr zum Thema

Sorgen Sie vor, um Schäden bei Web-Angriffen zu begrenzen.
Vorsorge treffen

Web-Angriffe auf Blogs gibt es täglich. Blogger sollten vorab etwas tun, um solche Angriffe abzuwehren oder zumindest den entstehenden Schaden zu…
Kaspersky Lab meldet über 200.000 bekannte Mobilschädlinge.
Mobile Bot-Netze

Die Menge bekannter Malware für Mobilplattformen wächst weiter rasant. Der Antivirushersteller Kaspersky Lab meldet über 200.000 bekannte…
Kaspersky Lab
Spionage-Trojaner Duqu 2.0

Kaspersky Labs hat auf den eigenen Systemen den Spionage-Trojaner Duqu 2.0 entdeckt. Dieser habe auch hochrangige Politiker im Visier.
1&1-Rechnung mit Trojaner
Vorsicht vor Malware

Vorsicht: Eine E-Mail mit einer vermeintlichen Rechnung von 1&1 bietet echte Daten und ein täuschend echtes Design. Dazu kommt ein gefährlicher…
Symbolbild für Internet-Sicherheit und Spionage
Teslacrypt

Die Ransomware "TeslaCrypt" ist ein Trojaner, der vor allem Zockern zu schaffen macht. Savegames werden verschlüsselt, die angeblich erst gegen…