Rakshasa manipuliert BIOS und Firmware

Jonathan Brossard, der CEO der französischen Sicherheitsfirma Toucan System, hat auf der Sicherheitskonferenz Black Hat und einige Tage später auch auf der Devcon in Las Vegas vor seinen selbst entwickelten potentiellen Computerschädling namens Rakshasa gewarnt.

Eigentlich wurde der nach einem hinduistischen Dämon benannte Programm als sogenannte Backdoor entwickelt, um Sicherheitslücken in Systemen zu beweisen. Allerdings hat Rakshasa die Eigenschaft sich viel tiefer in das System einzunisten als übliche Trojaner. Dabei macht er weder vor Firmware von CD-Laufwerken und Netzwerkkarten noch vor dem BIOS halt. Das ist deswegen besonders gefährlich, weil der Rakshasa das BIOS mit einer Kombination aus der Open-Source-BIOS-Alternative Coreboot und SeaBIOS überschreiben kann.

Es ist dann relativ schwierig, das Original-BIOS beziehungsweise die Geräte-Firmware wiederherzustellen. Ist das PC-BIOS oder beispielsweise die PXE-Boot-Firmware einer Netzwerkkarte erst einmal infiziert, lässt sich jede Art von Schadsoftware ausführen. Herkömmliche Antiviren-Software ist dagegen machtlos, da Rakshasa keinen Spuren auf der Festplatte hinterlässt und die Firmware von Geräten in der Regel nicht geprüft wird. So sollen 43 Virenscanner bei der Suche nach dem Schädling versagt haben.

Brossard befürchtet nun, dass professionelle Hacker den Trojaner nachbauen könnten. Zwar hat der Spezialist keine Baupläne für Rakshasa veröffentlicht, jedoch bestünde er aus frei zugänglichen Open-Source-Komponenten. Profis könnten den hinterlistigen Schädling dann für die unterschiedlichsten Angriffe lokal und aus der Ferne missbrauchen. Lokal könnte der Schädling sogar schon ab Fabrik zur Wirtschaftsspionage mitgeliefert werden. Als Beispiel nennt er China, wo viele PC-Komponenten produziert werden. Angriffe aus der Ferne seien etwas schwieriger, aber nicht unmöglich.