Neuartiger Trojaner infiziert BIOS und Firmware

Auf der “Black Hat” Sicherheitskonferenz wurde ein neuartiger Trojaner demonstriert, der das Mainboard BIOS oder in die Firmware von Netzwerkkarten und auch optischen Laufwerken infizieren kann. Dies geschieht mit einer Kombination von Coreboot und SeaBIOS. Der Trojaners “Rakshasa” wurde nach einem hinduistischen Dämon benannt. Durch die tiefe Integration ist der PC bereits vor dem Starten eines Betriebssystems infiziert. Dadurch sind die zahlreichen auf dem Markt erhältlichen Antiviren-Programme nahezu nutzlos. Auch die Nutzung von vermeintlich sicheren Betriebssystemen wird somit ausgehebelt. Antiviren-Software könnte lediglich feststellen, dass “Rakshasa” läuft, den Trojaner aber nicht entfernen. Dies ist nur durch ein Flashen des BIOS bzw. der Firmware möglich. Aber selbst dann kann der Trojaner zurückkommen, warnt der Entwickler.

Bei entsprechendem Programmieraufwand könnte auch das Vorhandensein von “Rakshasa” gänzlich verschleiert werden, sodass kein Programm den Trojaner erkennen könnte. In so einem Fall könnte “Rakshasa” diverse weitere Schadsoftware über das Internet nachladen und erheblichen Schaden anrichten.

Bisher galt ein solcher Angriff nur als theoretisch denkbar. Der “Proof of Concept” wurde lediglich entwickelt, um eine Sicherheitslücke zu beweisen. Der Entwickler betont, dass er keine Baupläne oder genauere Informationen zu dem Trojaner veröffentlicht hat. Allerdings könnten fähige Hacker durchaus einen ähnlich funktionierenden Schädling nachbauen.