Rakshasa: Unsichtbarer Virus in Hardware-Firmware

Gänzlich neu ist das Konzept eines Firmware-Virus‘ nicht, doch das vom Sicherheitsexperten Jonathan Brossard auf der Hackerkonferenz Black Hat vorgestellte Programm Rakshasa sorgte dennoch für Aufmerksamkeit.

Mithilfe von Open-Source-Tooools gelang es Brossard einen Virus zu programmieren, der sich in die Firmware von Hardwarekomponenten schreibt uind somit unsichtbar bleibt für Antivirensoftware. In einem ersten Schritt deaktiviert der Virus Sicherheitsmechanismen im Betriebssystem. Nach einem Neustart lädt das Programm bei bestehender Internetverbindung weiteren Schadcode herunter und liest etwa Passwörter aus. Diese werden schließlich wieder über das Internet an den Hacker verschickt.

Das der Virus lediglich bei einer bestehenden Internetverbindung aktiv werden kann, sieht Brossard als Vorteil für den Virus, da so verdächtige Spuren im Dateisystem ausbleiben. Im Test wurde der Virus von keinem der 43 eingesetzten Anti-Viren-Programmen entdeckt. Zudem hilft naturgemäß keine Neuinstallation oder der Austausch einer Festplatte, sondern lediglich eine neue Firmware. Derzeit funktioniert der Virus auf über 200 Mainboards, allerdings wird für die Erstinfektion Zugang zur Hardware benötigt, was die Anwendbarkeit derzeit noch stark einschränkt.

Denkbar wären dennoch zahlreiche Szenarien, etwa gezielt kompromittierte Netzwerkkarten in Regierungsrechnern. Schützen könnten in solchen Fällen lediglich verschlüsselte BIOS-Versionen, die allerdings noch Mangelware sind.