Equation Group: Hacker spähten viele Tausend PCs aus – durch infizierte Festplatten

Die Sicherheitsexperten des Moskauer Antiviren-Software Herstellers Kaspersky haben eine weltweit operierende Hacker-Gruppe aufgedeckt, die sich seit 2001 auf mehreren Tausend PCs einhacken konnte und dabei nach Angaben der Experten zu den am höchsten entwickelten Cyberkriminellen der Welt gehören. Die „Equation Group“ genannte Gruppe übertreffe alles, was bislang in Sachen Komplexität und technischer Raffinesse bekannt sei, so Kaspersky.

Seit mindestens 14 Jahren sollen die Angreifer weltweit Ziele in mehr als 30 Ländern ausspioniert haben, hauptsächlich in den Ländern Iran, Russland, Pakistan, Afghanistan, Indien, China, Syrien und Mali. Laut den Sicherheitsexperten bei Kaspersky gebe es auch Hinweise darauf, dass die Entwickler der Equation Group mit der jetzt unter dem Namen „Fanny“ bekannt gewordenen Malware auch mit den Angreifern zusammengearbeitet haben, die für den Virus „Stuxnet“ verantwortlich seien: Dieser sorgte im Jahr 2010 dafür, dass ein Teil der Zentrifugen zur Urananreicherung in der iranischen Atomanlage Natans lahmgelegt wurden. Stuxnet nutzte laut Kaspersky eine Sicherheitslücke, die die Equation-Group mit ihrem Fanny-Virus bereits zwei Jahre zuvor ausnutzte.

Die Ziele hinter dem neuen Angriff würden mit einer extremen Präzision ausgewählt und sollen laut den Entdeckern der Malware von den Regierungen der betroffenen Staaten über diplomatische Vertretungen bis hin zu den Armeen, Medien und auch in die Bereiche IT und Telekommunikation, Nanotechnologie und Energie reichen.

Die Hacker nutzen mehrere Möglichkeiten, um die Ziel-PCs zu infiltrieren: Unter anderem infizierte USB-Medien wie der bereits 2008 entwickelte Computerwurm „Fanny“, der sich über die Bilddatei „fanny.bmp“ verbreitet und auf einem USB-Stick oder einer USB-Festplatten einen versteckten Speicherbereich einrichtet. Über diesen können Angreifer Befehle in einem eigentlich abgesicherten Netzwerk ausführen oder heimlich Daten sammeln. Ähnlich gefährlich ist „nls_933w.dll“, dass SSD- und HDD-Festplatten angreifen und deren Firmware umschreiben kann. Damit ist der Virus auch gegen das Formatieren der Festplatte oder eine Neu-Installation immun und kann unbemerkt in einem eigenen, schwer zu entdeckenden oder zu löschenden Speicherbereich seine Daten sammeln.

Das Team von Kaspersky hat laut c|net bislang zwölf Festplatten-Hersteller ausgemacht, deren Laufwerke anfällig für die Malware sind: Darunter die Firmen Seagate, Western Digital und Samsung. Beim Verdacht einer Infektion sollte man das Laufwerk direkt vernichten, empfehlen die Sicherheitsexperten: Ein entfernen der Malware sei bislang nur schwer möglich.