HOME

Schädling "Lojax": Unlöschbar: Diesen Trojaner entfernt selbst ein Festplattentausch nicht

Schadsoftware wird immer komplexer - und immer schwerer zu entdecken. Der von der russischen Hackergruppe APT28 entwickelte UEFI-Rootkit Lojax hat aber noch mehr drauf: Er ist auf normalem Wege nicht mehr loszuwerden.

APT28 Fancy Bear Sofacy Hacker

APT28 soll unter anderem in die Server des Auswärtigen Amtes eingedrungen sein (Symbolbild)

Getty Images

Wenn ein Computer von Schädlingen befalllen ist und nichts mehr hilft, installiert man einfach das System neu - und ist den Schädling wieder los. Diese einfache Regel gilt in Zeiten immer komplexerer Cyberwaffen nicht mehr. Die Virenjäger von Eset haben nun mit Lojax erstmals einen UEFI-Rootkit in freier Wildbahn gefunden. Diese besonders fiesen Schädling nisten sich so tief im Computer ein, dass nicht mal eine neue Festplatte das Problem behebt.

Dazu greift Lojax einen Teil des Computers an, der schon vor dem Betriebssystem geladen wird: Das sogenannte UEFI, eine moderne Variante des BIOS. Dabei macht es sich eine Schwachstelle des eigentlich zur Diebstahl-Erkennung genutzten UEFI-Programms Lojack zunutze, daher auch der Name Lojax.

Einmal über das UEFi geladen, öffnet der Schädling dann die Tür für weitere Angriffs-Programme. Das berichtet Eset in einem Blogpost. Weil das UEFI schon vor dem Start des Systems geladen wird, kann man Lojax nicht mit Neuinstallationen oder dem Tausch der Festplatte beikommen. Als einzige Variante bleibt der Austausch des Mainboards - oder gleich des ganzen Rechners.

Stecken sie Bundestags-Hacker dahinter?

Dass Geheimdienste wie die NSA oder technisch weit fortgeschrittene Kriminielle solche Werkzeuge im Repertoire haben, war schon länger bekannt. Nun wurde es erstmals in Aktion entdeckt. Und auch diesmal steckt laut Eset mit sehr hoher Wahrscheinlichkeit eine staatliche Hacker-Gruppe dahinter. Die auch als Sednit Group oder APT28 bekannte Hacker-Gruppe Fancy Bear wird dem russischen Geheimdienst FSB zugeordnet, sie steckte etwa hinter dem Angriff auf das Netzwerk des Bundestages.

Auch Lojax scheint vor allem gegen staatliche Ziele eingesetzt worden zu sein. Die Sicherheitsforscher geben an, dass Programm auf einer Reihe von Rechnern von Regierungs-Organisationen im Balkan, Zentral- und Osteuropa gefunden zu haben. Da es sich bei allen um gezielte Angriffe zu handeln scheint, dürfte die Gefahr für Normalverbraucher, von Lojax befallen zu werden, nahezu bei Null liegen. Allerdings dauerte es auch bei Angriffswerkzeugen der NSA nur wenige Jahre, bis diese ihren Weg ins Darknet und damit zu herkömmlichen Kriminellen fand. Gut möglich also, dass es auch UEFI-Attacken bald auf Privatrechner schaffen.