US-Cybercom überrascht mit neuer Strategie gegen Russland

Das Cyberkommando der US-Streitkräfte hat damit begonnen, gegnerische Schadsoftware zu veröffentlichen. Zum Auftakt wurde ein hochgefährliches Rootkit der berüchtigten russischen Cybertruppe „Fancy Bear“ (APT 28) präsentiert.

von Erich Moechel

Das Cyberkommando der USA hat am Donnerstag mit der Veröffentlichung ausgesuchter Schadsoftware begonnen, um deren Neutralisierung voranzutreiben. Das ist ein absolutes Novum und passt zur neuen Cyberstrategie der USA, dabei werden Cyberattacken, deren Methodik und die Namen der Akteure öffentlich gemacht. Im Branchenjargon heißt diese Strategie denn auch „Name and Shame“, doch beim Benennen und Bloßstellen bleibt es nicht, wie sich zeigt.

Das veröffentlichte Stück Schadsoftware ist an sich zwar bekannt, kehrt aber stets in neuen Varianten wieder und ist so gefährlich wie es einzigartig ist. Es handelt sich um das einzige bis jetzt bekannte „Rootkit“, das sich nicht im Betriebssystem sondern darunter im BIOS einnistet, aus dem dann Windows gestartet wird. Die wichtigste Zusatzkomponente dieser „LoJax“ genannte Schadsoftware wurde von der berüchtigten Cybertruppe „APT“ 28 oder auch „Fancy Bear“ des russischen Auslandsgeheimdienstes GRU im US-Wahlkampf eingesetzt.

Wenn das BIOS „nach Hause telefoniert“

Die nun aufgetauchte Variante ist bereits eine neue Version der LoJax-Malware, die Ende September von der Anti-Viren-Firma ESET „erstmals in the wild“ gefunden wurde. Die neue von Cybercom auf die Google-Plattform Virustotal hochgeladene Variante setzt wie die Vorgänger auf demselben, legitimen Mechanismus auf. Bei einer Unzahl Laptops weltweit ist im Betriebssystem des BIOS eine legale Zusatzsoftware namens „Computrace“ werksseitig vorinstalliert. Die kann aktiviert werden, um einen gestohlenen Laptop zu verfolgen, weil sie „nach Hause telefoniert“, wie man sagt.

Das funktioniert auch, wenn die Festplatte und das Betriebssystem getauscht werden, denn die Funktionen sitzen darunter in einem Flash₋Speicher, in dem das BIOS läuft. Wenn Computrace vom Besitzer des Laptops nie aktiviert, weil nicht benutzt wurde, dann aktiviert es eben LoJax und funktioniert die Software zu Spionagezwecken um. Das Rootkit übernimmt dann seine eigentliche Aufgabe, nämlich sämtliche Vorgänge auf Programmebene vor dem Betriebssystem bzw. vor dem Benutzer zu tarnen.

In diesem Fall sind das die Vorgänge rund um eine sogenannte „Backdoor“. Wie schon der Name sagt, ist das ein Malware-Modul, das eine Hintertür im befallenen Laptop installiert, um erneut darauf zugreifen zu können. Die Möglichkeit einer elektronische Sicherung gegen den Diebstahl des gesamten Geräts wird also dazu benützt, um laufend Daten von der Festplatte zu stehlen. Das ist bezeichnend für die gesamte Vorgangsweise.

Verbrannte Malware-Elemente

Bei LoJax handelt sich um ein typisches Tool für die operative Spionage, wie sie Auslandsgeheimdienste verwenden. Die in Holland aufgeflogene Cybertruppe der GRU verwendete gerade eine Handvoll von relativ wenigen, aber sehr effizienten Malwaremodulen, darunter auch eine Backdoor namens X-Agent. Ein solches Toolset ist gut geeignet, um gegen Teilnehmer einer Konferenz zu spionieren. Dieselbe Backdoor in einer früheren Version war auch beim Angriff auf die Demokratische Partei 2016 zum Einsatz gekommen.

Im Prinzip wird das gesamte, böse Toolset so lange verwendet und adaptiert, bis erstmals Teile dieser Software an die Öffentlichkeit gelangen. Um die gesamte LoJax-Suite funktional zu erhalten, müssen alle verbrannten, weil bekanntgewordenen Elemente völlig umgeschrieben oder ersetzt werden. Damit ist die gesamte Suite für Wochen nicht einsatzfähig. Der Aufwand beschränkt sich nicht allein auf das notwendige Coding, ein so runderneuertes Tool muss gründlich getestet werden. Am Ende benötigen die operativen Kräfte dann eine Schulung. Und darauf setzt die neue Strategie von Cybercom, denn das strapaziert die Ressourcen der gegnerischen Cybertruppen, etwa was die Kapazitäten an erfahrenen Programmierern betrifft.

Strategische Änderung

Die Auguren der Sicherheitsbranche üben sich derweil noch in der Deutung dieser unerwarten Rauchzeichen aus dem Generalstab der US-Streitkräfte. In der militärisch knappen Aussendung ist nämlich nur von „unclassified software“ die Rede. Wie man an LoJax sieht, sind damit keineswegs gewöhnliche Erpressungstrojaner oder ähnliche Wald- und Wiesen-Malware gemeint. Vielmehr bezeichnet das offensichtlich wichtige, von unfreundlich gesinnten Staaten eingesetzte Schadsoftware-Elemente, deren Veröffentlichung als nützlicher erachtet wird, als das Wissen darüber vor dem Gegner geheimzuhalten.

Bisher war grundsätzlich alles von der NSA geheimgehalten worden, das hatte bis jetzt auch für US-Cybercom gegolten, das trotz zuletzt heftiger US-interner Diskussionen ja immer noch der NSA untersteht. Es handelt sich also tatsächlich um eine beträchtliche Änderung der bisherigen Strategie, die völlig veraltet war, weil sie von der unilateralen Dominanz der USA im Cyberraum ausging, die seit Jahren nicht mehr gegeben ist.

Showdown auf dem Info-Layer

Genauer betrachtet fällt die Vorgangsweise, ausgewählte Schadsoftwares des Gegners durch ihre Veröffentlichung zu verbrennen, in die Kategorie „Informationsoperation“. Ebendort ist auch die von Lawrow geschmähte „Megaphondiplomatie“ angesiedelt. Es wird damit auf der gleichen Ebene geantwortet, auf der Russland seine bis jetzt enorm erfolgreichen (Des-)Informationsangriffe durchzieht. Ein wichtiges Element der russischen Vorgangsweise war auch das öffentliche Verbrennen von hochklassiger Schadsoftware der NSA, wie man an den Leaks der ominösen „Shadow Brokers“ gesehen hat. Wenn Cyberwaffen, die bekanntlich auf zivile Netze zielen, in Flammen aufgehen, dann sind das grundsätzlich sehr gute Nachrichten für die globale Zivilgesellschaft. Und zwar egal auf welcher Seite gerade wieder ein Cyberwaffenbunker explodiert.