Supertrojaner BadBIOS: Unwahrscheinlich, aber möglich

Der Sicherheitsforscher Dragos Ruiu behauptet, auf seinen Rechnern wüte ein im BIOS verankerter Supertrojaner, der auch ohne Netzanschluss kommuniziert. Es mehren sich skeptische Stimmen – technisch unmöglich ist Malware wie BadBIOS jedoch nicht.

In Pocket speichern vorlesen Druckansicht 291 Kommentare lesen
Lesezeit: 5 Min.
Von
  • Gerald Himmelein
Inhaltsverzeichnis

Vor einer Woche ging der renommierte Sicherheitsforscher Dragos Ruiu mit Tweets über einen Supertrojaner an die Öffentlichkeit, den er "BadBIOS" taufte. Es soll sich dabei um einem im BIOS oder UEFI verankerten Schädling handeln, der sowohl unter Mac OS und OpenBSD als auch unter Windows aktiv bleibt. Ruiu geht davon aus, dass sich die Malware über USB-Medien verbreitet. Befallene Rechner sollen sich nicht mehr ohne Weiteres von CD booten lassen. Die erste Infektion seiner Systeme soll bereits vor drei Jahren stattgefunden haben.

Der erste Bericht über BadBIOS bei Ars Technica löste sowohl Entsetzen als auch Spott aus. Das von Ruiu beschriebene Verhalten übertrifft die Komplexität bisher bekannter Schädlinge bei Weitem. Mittlerweile hat Ruiu erste Daten an andere Sicherheitsforscher weitergegeben, etwa BIOS-Images, Festplatten-Images und Systemprotokolle an Arrigo Triulzi und Tavis Ormandy.

Deren Reaktionen fielen, freundlich gesagt, verhalten aus. Gegenüber Ars Technica erklärte Triulzi, in den bereitgestellten Daten nichts Verdächtiges gefunden zu haben. Auch Ormandy konnte in den Dumps keine Auffälligkeiten entdecken, abgesehen von geringen Inkonsistenzen in den Dumps. Diese erklärt er durch Festplattenfehler.

Das größte Medienecho fand die Behauptung, dass sich BadBIOS auch vom gezielten Abschalten aller Netzverbindungen (Air Gap) nicht aufhalten lasse. Ruiu hatte alle Verbindungen eines befallenen Rechners gekappt (Ethernet, WLAN und Bluetooth) und dennoch den Transfer von Datenpaketen beobachtet. Dabei kam er zu der Schlussfolgerung, dass infizierte Systeme einander notfalls über hochfrequente Audiosignale kontaktieren. Dies erschien vielen Beobachtern als reine Science Fiction.

Tatsächlich ist eine versteckte Datenübertragung über Audio jedoch durchaus von dieser Welt. heise Security liegt ein Technical Paper von zwei deutschen Forschern vor, die am Fraunhofer-Institut für Kommunikation, Informationsverarbeitung und Ergonomie tätig sind. Darin beschreiben sie im Detail, wie sie ein verstecktes Netz aus mehreren Lenovo-Laptops aufbauen konnten, die mit einer Reichweite von bis zu 20 Metern miteinander kommunizierten. Das Paper mit dem Titel "On Covert Acoustical Mesh Networks In Air" soll Mitte des Monats im Journal of Communications erscheinen.

Als Kommunkationskanal dienten die eingebauten Lautsprecher und Mikrofone von fĂĽnf Lenovo-Laptops vom Typ ThinkPad T400. Die Forscher Michael Hanspach und Michael Goetz bauten nicht nur eine einfache bidirektionale Verbindung auf, sondern ein komplettes Mesh, das Signale ĂĽber mehrere Stationen weiterleitete, bis sie sich ĂĽber einen Rechner mit einem konventionellen Netzanschluss nach auĂźen bringen lieĂźen.

Hanspach und Goetz wählten als mittlere Frequenz 18.600 Hz, knapp unterhalb der Ultraschallgrenze. Im Testszenario kamen Signale zwischen 16 und 21 Khz zum Einsatz, die den Forschern zufolge bei normaler Lautstärke nicht hörbar seien. [Update] Durch Optimierungen gelang es, die Systemauslastung auf einen unauffälligen Grad zu reduzieren – und das bei einem vier Jahre alten Notebook-Modell. [/Update]

Zur Datenübertragung griffen Hanspach und Goetz auf ein Protokoll zurück, das bei der Bundeswehr zur Unterwasserkommunikation entwickelt wurde, genannt GUWAL (Generic Underwater Application Language). Das Protokoll ist bewusst einfach gehalten, mit nur 6 Bit für die Adressierung und einer Payload von maximal elf Zeichen pro Frame.

Hanspach und Goetz nutzten für ihre Experimente Debian 7.1 Wheezy und das Software-Modem ACS Modem. Bei ihren Experimenten erreichten sie eine stabile Übertragungsrate von 20 Bit/s über eine Entfernung von bis zu 19,7 Metern. Interferenzen durch andere Frequenzen – etwa laut sprechende Forscher – beeinträchtigten die Kommunikation der Rechner nicht, da diese herausgefiltert wurden.

Hanspach und Goetz geben zu, dass ihr Verfahren noch mehrere Schwachstellen besitzt. Dazu gehört unter anderem, dass die Laptops auf einer Blickachse ausgerichtet sein müssen – durch etwa eine Wand reflektierte Signale lassen sich nicht mehr verarbeiten. Lief eine Person durch den Versuchsaufbau, unterbrach dies den Datenfluss.

Diesen Einschränkungen zum Trotz beweist das Technical Paper von Hanspach und Goetz, dass der von Dragos Ruiu beschriebene Signalweg technisch durchaus machbar ist. Man darf daher weiterhin nicht ausschließen, dass an BadBIOS etwas dran ist.

Ruiu hat am Donnerstag auf Google+ betont, weiterhin an der Offenlegung von BadBIOS zu arbeiten. Skeptischen Sicherheitsforschern unterstellt er, dass deren Rechner womöglich ebenfalls kompromittiert worden seien. Der kanadische Sicherheitsforscher Andrew van der Stock warnt davor, BadBIOS vorzeitig als Hoax oder paranoide Wahnvorstellung abzutun – lieber solle man Ruiu nach Kräften dabei helfen, den Malware-Verdacht zu bestätigen oder definitiv zu widerlegen.

[Update 11.11.2013, 18:10:] Fehlerhafte Angaben zur CPU-Auslastung der Testsysteme von Hanspach und Goetz korrigiert. (ghi)