Die Firma Eset beschreibt eine Schadsoftware namens Lojax, die sich als Rootkit direkt im UEFI eines Systems einnisten kann. Das UEFI ist der moderne Nachfahre des BIOS, ein auf einem Chip residierendes Mini-Betriebssystem, das beim Start des Computers aktiv wird und die ersten Bootprozesse durchführt, bevor das eigentliche Betriebssystem übernimmt. Kann Lojax auch Linux-Systeme gefährden?
Was ist Lojax?
Dass Schadsoftware für Linux sehr selten ist und es in diesem Betriebssystem längst nicht so viele funktionierende Angriffswege wie in Windows gibt, habe ich bereits des öfteren berichtet. Lojax infiziert nun aber das UEFI des Rechners, welches nicht Teil des Betriebssystems ist.
Der genaue Infektionsweg, auf dem Lojax ein System erreicht, ist nicht bekannt, obwohl die Verwendung von Social Engineering per E-Mail allgemein vermutet wird. Lojax ist eine veränderte Form eines eigentlich legitimen Sicherheitsprogramms namens LoJack, welches dazu dient, gestohlene Laptops und Notebooks aus der Ferne unbrauchbar zu machen.
Damit ein gestohlenes Notebook auf diese Weise noch gesteuert werden kann, muss die dazu verwendete Software auch dann noch funktionieren, wenn das Betriebssystem ersetzt oder gar die Festplatte ausgebaut wird. Das kann nur gelingen, wenn das Programm in der nicht entfernbaren Hardware des Gerätes selbst liegt und außerhalb des Betriebssystems läuft. Genau so ein Programm ist LoJack, das im UEFI läuft und seine Sicherheitsroutinen in Windows injiziert, bevor es läuft – selbst, wenn das Windows frisch installiert ist.
Die durch Lojax kompromittierte Version dieses Programms erhält dieselben Fähigkeiten. Es könnte also von seinem Ort im UEFI aus grundsätzlich auch Linux beeinträchtigen. Allerdings ist LoJack ein Windows-Programm und ist als solches unter Linux nicht lauffähig. Die Installation funktioniert zurzeit nicht ohne die Mithilfe des Benutzers, es dürfte daher vorerst unwahrscheinlich sein, dass es zu direkten Infektionen unter Linux kommt.
Eine theoretische Gefahr besteht
Vorstellbar sind zwei Infektionswege, die auch Linuxanwender betreffen: Dual-Boot-Systeme, bei denen eines der gebooteten Systeme Windows ist, könnten betroffen werden. Ebenso Systeme, auf denen einmal Windows installiert war, später aber durch Linux ersetzt wurde.
Aufgrund der Natur der eingesetzten Software, die einen Diebstahlschutz für Notebooks bietet, ist eine Installation auf einem Desktop-PC eher unwahrscheinlich, aber nicht unmöglich. Definitiv sicher sind ältere Systeme, die noch ein herkömmliches BIOS statt UEFI besitzen, und neuere Systeme, die ein aktuelles UEFI besitzen und Secure Boot eingeschaltet haben.
Viele Seiten, die über Lojax berichten, empfehlen, Secure Boot einzuschalten, falls das nicht schon geschehen ist. Sie verschweigen dabei aber, dass das installierte Betriebssystem dann jedoch neu aufgesetzt werden muss, um überhaupt noch booten zu können, und nicht jede Linux-Distribution ist mit den für Secure Boot notwendigen signierten Schlüsseln ausgestattet.
Lojax wird mit einer kriminellen Hackergruppe in Verbindung gebracht, deren primäres Interesse in politischer und industrieller Spionage besteht. Diese Gruppe soll gezielte E-Mails zur Verbreitung der schädlichen Software verwenden. Ihr Ziel ist nicht die Infektion der breiten Masse mit allgemeingültiger Schadsoftware wie Erpressungstrojanern oder Bankingtrojanern. Aber das heißt nicht, dass die grundlegende Technik nicht auch irgendwann von anderer Seite für solche Zwecke benutzt werden könnte.
Die Zielrechner sind aufgrund des Angriffsvektors solche, auf denen E-Mails empfangen und gelesen werden – also eher keine Server. Außerdem liegt ein Fokus auf mobilen Rechnern. In Industrie und Behörden werden nach wie vor in erster Linie Windows-Rechner für die tägliche Arbeit eingesetzt, wobei deren inhärente Unsicherheit ignoriert oder als unabwendbar hingenommen wird. Es kann derzeit davon ausgegangen werden, dass die eigentliche infizierende Software, die per Mail verteilt wird, bis auf weiteres ein Windows-Programm bleiben wird.
Die einmal im UEFI sitzende Schadsoftware muss beim Start des Rechners ihren Code in das eigentliche Betriebssystem injizieren, um eine Verbindung ins Internet herstellen zu können. LoJack injiziert in Windows eine autochk.exe – ein Programm, welches in Linux nichts anrichten könnte. Ich würde daher davon ausgehen, dass selbst auf einem infizierten Dualboot-System nur die Windows-Installation erkennbar betroffen ist, nicht die Linux-Installation. Dennoch wäre es sicher keine schwierige Modifikation, hier eine linuxfähige Datei zu verwenden.
Fazit: Noch keine Gefährdung für Linux
Mein vorsichtiges Fazit ist aus den genannten Gründen, dass Linux-Systeme bisher durch Lojax nicht gefährdet sind, selbst wenn die Hardware davon infiziert sein sollte. Jedoch ist davon auszugehen, dass die zugrundeliegende Technik weitere Verbreitung finden wird. Es scheint eine gute Idee zu sein, Secure Boot bei der Neueinrichtung eines Linux-Systems einzuschalten wenn das möglich ist. Ansonsten greifen die üblichen Vorsichtsmaßnahmen, insbesondere der bewusste und verantwortungsvolle Umgang mit E-Mails und deren Anhängen. Ein Grund für Panik und insbesondere die Installation von (für UEFI-Rootkits ohnehin nutzlosen) Antivirenprogrammen unter Linux ist jedoch nicht gegeben.
War dieser Beitrag für Sie nützlich?
[thumbs-rating-buttons]
