Super-Malware "BadBIOS" wirft Fragen auf
Sofern es sich nicht um einen PR-Gag handelt, wäre der Supertrojaner BadBIOS die bislang gefährlichste Malware überhaupt. Angeblich nistet sich der Schädling im BIOS ein und verbindet sich notfalls auch über Lautsprecher und Mikrofon mit anderen Rechnern.
- Darren Martyn
Seit einigen Tagen macht der kanadische Sicherheitsforscher Dragos Ruiu mit der vermeintlichen Entdeckung einer Super-Malware von sich reden, die er "BadBIOS" nennt. Der Schädling verbreite sich mutmaßlich über USB-Laufwerke, soll das BIOS des befallenen Rechners kompromittieren und diverse Betriebssysteme infizieren – darunter auch Mac OS und OpenBSD. Das klänge alles nach einer paranoiden Wahnvorstellung, wäre die Informationsquelle nicht jener renommierte Sicherheitsforscher, der die bekannten Pwn2Own-Wettbewerbe ins Leben gerufen hat und weltweit bekannte Sicherheitskonferenzen veranstaltet.
Dem Anschein nach handelt es sich bei der Malware um ein sehr fortgeschrittenes Stück bösartigen Codes. Ruiu gab der Malware den Namen BadBIOS, weil sie sich mutmaßlich im BIOS oder einem anderen Mikro-Controller auf dem Mainboard des befallenen Rechners einnistet. Die genaue Infektionsmethode ist bislang unklar. Derzeit wird davon ausgegangen, dass die Malware neue Systeme über eine unbekannte USB-Sicherheitslücke befällt. Womöglich wird dabei die Firmware der betroffenen USB-Geräte überschrieben, um einen Pufferüberlauf oder eine andere Schwachstelle in USB-Treibern oder der Firmware auszunutzen.
BadBIOS kommuniziert ĂĽber hochfrequente Audiosignale
Die eher schwammige Beschreibung der Fähigkeiten und Methoden der Malware erklärt Ruiu damit, dass BadBIOS sich aktiv vor Analysen schütze. Zur Kommunikation nach draußen nutzt BadBIOS angeblich versteckte Kanäle. Bei vorhandener Internet-Verbindung baue BadBIOS eine verschlüsselte IPv6-Verbindung zu unbekannten Kontrollservern auf – selbst wenn das Protokoll im Betriebssystem deaktiviert ist. Bei Rechnern ohne Internet-Zugriff soll die Malware imstande sein, andere infizierte Systeme in der Nähe über hochfrequente Impulse zu kontaktieren. Angeblich nutzt es die Lautsprecher und Mikrofone der befallenen Systeme, um "Air Gaps" in Netzwerken zu überwinden.
Erste Hinweise auf den Schädling ließ Dragos Ruiu am 10. Oktober auf Twitter fallen. Einem Bericht von Dan Goodin auf Ars Technica zufolge liegt der erste Befall von Ruius Rechnern bereits drei Jahre zurück. In diesem Zeitraum sei es dem Sicherheitsexperten nicht gelungen, die Infektion komplett unter Kontrolle zu bekommen. Er entdeckte die Malware bei der Neueinrichtung eines Macbook Air, das sich nach einem unerwarteten Firmware-Update weigerte, von CD zu booten. Darüber hinaus will Ruiu beobachtet haben, wie die Malware ohne sein Zutun Dateien löschte und Einstellungen änderte. Diese Phänomene sollen daraufhin auch auf anderen Rechnern mit OpenBSD, Windows und Linux eingetreten sein.
Eine derartig hartnäckige und ausgefuchste Malware ist zuvor noch nie in freier Wildbahn beobachtet worden. Einige der von Ruiu berichteten Phänomene wurden in abstrakter Form bereits auf Sicherheitskonferenzen diskutiert – darunter Infektionen des BIOS und der Firmware von Netzwerkkarten, um einer Erkennung oder Entfernung zu entgehen. Auch die Idee der versteckten Kommunikation über Audiofrequenzen sowie Gegenmaßnahmen gegen Antivirenprodukte und Forensik-Software wurden bereits vorgestellt – einschließlich der Möglichkeit, Sicherheitslücken in Firmware und Hardware zu nutzen, um sich Kontrolle über einen Rechner zu verschaffen.
Zweifel am Wahrheitsgehalt
Bis jetzt ist aber noch keine derart hochentwickelte Bedrohung tatsächlich gesichtet worden. Stimmen die Angaben von Ruiu, wirken Schädlinge wie Stuxnet gegenüber BadBIOS wie das "Hello World" der Virologie. Die Beschreibung der Fähigkeiten des neuen Schädlings übertrifft alle bisher bekannt gewordene staatlich geschriebene Malware, kommerzielle Spyware und kriminelle Malware bei Weitem.
Es gibt allerdings Gründe zum Zweifel an dem Wahrheitsgehalt von Ruius Aussagen. Es könnte sich dabei um eine Falschmeldung oder einen PR-Gag handeln – etwa für die Mitte November stattfindende Sicherheitskonferenz PacSec, die Dragos Ruiu ausrichtet. Womöglich ist mit dem Sicherheitsforscher auch die Paranoia durchgegangen. Ruiu hat allerdings den Ruf eines ehrlichen, besonnenen Sicherheitsforschers. Es erscheint unwahrscheinlich, dass er um der Aufmerksamkeit willen mit BadBIOS an die Öffentlichkeit gegangen ist.
In der Sicherheitsszene gehen die Meinungen weit auseinander: Robert Graham sieht durchaus Anhaltspunkte dafür, dass die von Ruiu beobachteten Phänomene stimmen könnten. Phillip Jaenke hält hingegen wenig von BadBIOS: In jedem Fall sei auszuschließen, dass sich die Malware ausschließlich im BIOS beziehungsweise UEFI von Maschinen einniste – die beschriebenen Aktivitäten müssten auf jeden Fall auf Betriebssystemebene stattfinden. Auch Paul Ducklin von Sophos zeigt sich skeptisch. Was an BadBIOS wirklich dran ist, werden hoffentlich die kommenden Wochen zeigen. Auf Twitter hat sich Ruiu bereits bereiterklärt, dem Sicherheitsunternehmen Sophos ein Sample der Malware auszuhändigen. (ghi)