"Erste Hinweise erhielten wir durch Treffer in unserer Telemetrie Ende 2022. Diese stellten sich als eine Komponente von BlackLotus – einem HTTP-Downloader – heraus. Nach einer ersten Analyse entdeckten wir in den Proben der gefunden Codemuster von sechs BlackLotus-Installationsprogrammen. Dadurch konnten wir die gesamte Ausführungskette untersuchen und erkennen, dass wir es hier nicht nur mit normaler Malware zu tun haben", sagt Martin Smolár, der ESET-Forscher, der die Untersuchung des Bootkits leitete.

Sicherheitslücke wird ausgenutzt

BlackLotus nutzt eine mehr als ein Jahr alte Sicherheitslücke (CVE-2022-21894) aus, um UEFI Secure Boot zu umgehen und sich dauerhaft im Rechner einzunisten. Dies ist die erste bekannte Ausnutzung dieser Sicherheitslücke in freier Wildbahn. Obwohl die Schwachstelle mit dem Microsoft-Update vom Januar 2022 behoben wurde, ist ihr Missbrauch immer noch möglich. Grund dafür ist, dass die betroffenen, gültig signierten Binärdateien immer noch nicht zur UEFI-Sperrliste hinzugefügt wurden. BlackLotus nutzt dies aus, indem es seine eigenen Kopien legitimer - aber anfälliger - Binärdateien auf das System bringt.

Breites Spektrum an Möglichkeiten

BlackLotus ist in der Lage, Sicherheitsmechanismen des Betriebssystems wie BitLocker, HVCI und Windows Defender zu deaktivieren. Nach der Installation besteht das Hauptziel des Schädlings darin, einen Kernel-Treiber (den es unter anderem vor der Entfernung schützt) und einen HTTP-Downloader zu installieren. Letzterer ist für die Kommunikation mit dem Command-and-Control-Server zuständig und kann zusätzliche Nutzdaten für den Benutzermodus oder den Kernel-Modus laden. Interessanterweise fahren einige der BlackLotus-Installationsprogramme nicht mit der Bootkit-Installation fort, wenn der kompromittierte Rechner Gebietsschemata aus Armenien, Belarus, Kasachstan, Moldawien, Russland oder der Ukraine verwendet.

BlackLotus wurde mindestens seit Anfang Oktober 2022 in Untergrundforen beworben und verkauft. "Wir haben Beweise, dass das Bootkit echt und die Werbung dafür kein Betrug ist", sagt Smolár. "Die geringe Anzahl von BlackLotus-Samples, die wir sowohl aus öffentlichen Quellen als auch aus unserer Telemetrie erhalten haben, lässt uns vermuten, dass noch nicht viele Hacker damit begonnen haben, es einzusetzen. Wir befürchten, dass sich dies schnell ändern wird, sollte dieses Bootkit in die Hände von Crimeware-Gruppen gelangen. Denn er ist leicht zu verteilen und kann von diesen Gruppen beispielsweise über Botnetze verbreitet werden."

Was ist ein Bootkit?

UEFI-Bootkits sind sehr mächtige Bedrohungen für jeden Rechner. Haben sie erst einmal die volle Kontrolle über den Bootvorgang des Betriebssystems erlangt, können sie verschiedene Sicherheitsmechanismen des Betriebssystems deaktivieren und ihre eigenen Schadprogramme im Kernel- oder Benutzermodus in den frühen Bootphasen einbringen. Dadurch operieren sie heimlich und mit hohen Privilegien. Bislang wurden nur einige wenige Bootkits in freier Wildbahn entdeckt und öffentlich beschrieben. Im Vergleich zu Firmware-Implantaten - wie LoJax, dem ersten UEFI-Firmware-Implantat in freier Wildbahn, das 2018 von ESET entdeckt wurde - können UEFI-Bootkits ihre Tarnung einbüßen, da sich Bootkits auf einer leicht zugänglichen FAT32-Festplattenpartition befinden. Wenn sie jedoch als Bootloader ausgeführt werden, haben sie fast die gleichen Möglichkeiten, ohne dass sie mehrere Sicherheitsebenen überwinden müssen, die vor Firmware-Implantaten schützen. "Der beste Tipp ist, das System und seine Sicherheitslösung auf dem neuesten Stand zu halten. So erhöht man die Chance, dass eine potentielle Bedrohung bereits zu Beginn gestoppt wird, bevor sie das Betriebssystem unterwandert", schließt Smolár.

Was ist UEFI?

UEFI steht für "Unified Extensible Firmware Interface" und beschreibt die Firmware des Mainboards. Diese wiederum bildet die Schnittstelle zwischen Hardware und Software während des Bootvorgangs. Eine wesentliche Funktion des UEFI ist, dass der Computer im Secure Boot hochfahren kann. Dies soll verhindern, dass Schadsoftware auf das Gerät gelangt. Daher ist eine Umgehung dieser Sicherheitsfunktion auch so gefährlich.

Weitere technische Informationen über BlackLotus gibt es auf WeLiveSecurity: https://www.welivesecurity.com/2023/03/01/blacklotus-uefi-bootkit-myth-confirmed/

Aussender: ESET Deutschland GmbH
Ansprechpartner: Christian Lueg
E-Mail: Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!
Tel.: +49 3641 3114 269
Website: www.eset.com/de

APT-Gruppe Mustang Panda attackiert Europa (Bild: ESET)

MQsTTang: Beweis für schnellen Entwicklungszyklus

MQsTTang ist eine einfache Backdoor, die es dem Angreifer ermöglicht, beliebige Befehle auf dem Rechner des Opfers auszuführen und die Ausgabe zu erfassen. Die Malware verwendet das MQTT-Protokoll für die Command-and-Control-Kommunikation. MQTT wird in der Regel für die Kommunikation zwischen IoT-Geräten und Steuerungen verwendet. Bislang wurde das Protokoll nur in wenigen, öffentlich dokumentierten Malware-Familien eingesetzt.

MQsTTang wird in RAR-Archiven verteilt, die nur eine einzige ausführbare Datei enthalten. Diese ausführbaren Dateien haben normalerweise Dateinamen, die mit Diplomatie und Pässen zu tun haben.

"Anders als die meiste Malware der Gruppe, scheint MQsTTang nicht auf bestehenden Malware-Familien oder öffentlich verfügbaren Projekten zu basieren", sagt ESET-Forscher Alexandre Côté Cyr, der die laufende Kampagne entdeckt hat. "Diese neue Backdoor bietet eine Art Remote-Shell ohne den ganzen Schnickschnack, der mit den anderen Malware-Familien der Gruppe verbunden ist. Sie zeigt jedoch, dass Mustang Panda neue Technologie-Stacks für seine Tools erforscht", erklärt er. "Es bleibt abzuwarten, ob diese Backdoor zu einem wiederkehrenden Bestandteil ihres Arsenals wird. Auf jeden Fall ist sie ein weiteres Beispiel für den schnellen Entwicklungs- und Einsatzzyklus der Gruppe", schließt Côté Cyr.

Weitere Informationen zu MQsTTang

Detaillierte technische Informationen finden Sie im Blog-Beitrag "MQsTTang: Neue Backdoor der Mustang Panda Gruppe, basierend auf Qt und MQTT" auf WeLiveSecurity: https://www.welivesecurity.com/deutsch/2023/03/02/mqsttang-neue-backdoor-der-mustang-panda-gruppe

Aussender: ESET Deutschland GmbH
Ansprechpartner: Michael Klatte
E-Mail: Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!
Tel.: +49 3641 3114 257
Website: www.eset.com/de/

Volla Phone 22

[ Fotos ]

Schon mit dem Volla Phone hatte das Start-up "Hallo Welt Systeme" vor zwei Jahren das Konzept "Smartphone" komplett neu gedacht: Kunden haben die Wahl zwischen dem eigenen Android-Betriebssystem Volla OS und der mobilen Linux-Alternative Ubuntu Touch. Während Volla OS eine neue intelligente Benutzerführung einführt, bieten beide Optionen konsequenten Respekt der Privatsphäre.

Die Neuheiten im Überblick

Mit der zweiten Produktgeneration vollzieht das Jungunternehmen jetzt einen Evolutionssprung. Als erstes Smartphone führt das Volla Phone 22 für Volla OS einen Sicherheitsmodus ein, der Apps und Internetverbindung blockieren kann.

Ebenfalls Premiere auf einem Smartphone hat die Multi-Boot-Funktion, mit der Anwender mehrere Betriebssysteme installieren, starten und auch erstmal testen können.

Die Hardware erhält in puncto Leistung ein umfangreiches Update, während das minimalistische Design mit eingelassenen Kameralinsen unter einer Glasrückseite das Volla Phone 22 noch eleganter erscheinen lassen und zugleich mit dem austauschbaren Akku eine noch höhere Nachhaltigkeit verspricht.

Vorbestellungen des Volla Phone 22 mit Volla OS und Ubuntu Touch Volla OS sind über eine Crowdfunding-Kampagne auf Kickstarter zum Einführungspreis möglich. Bereits im Juni will der Hersteller die ersten Volla Phone 22 ausliefern.

Premiere auf einem Smartphone: Sicherheitsmodus und Multi-Boot-Funktion

Konsequenten Schutz der Privatsphäre bietet ein spezieller Sicherheitsmodus von Volla OS. Geschützt durch ein Passwort, macht er das Volla Phone 22 zur Festung. Anwender können ihn aktivieren und dafür Apps festlegen, die ausgeblendet und deren Ausführung unterbunden werden soll. Eine Firewall blockiert oder erlaubt den Aufruf bestimmter Webadressen. Ideal für Eltern, die mit guten Gewissen ihrem Kind ein Volla Phone 22 mitgeben wollen sowie für alle, die Trackern in Apps keine Chance geben wollen. Weil der Sicherheitsmodus tief im System integriert ist, kann er zusammen mit dem vorinstallierten, aber optionalen VPN von hide.me betrieben werden.

Premiere hat auch die Multi-Boot-Funktion, die bisher nur auf Mac oder PCs möglich war. Anwender können - so simpel wie eine App - ein oder mehrere Betriebssysteme installieren und beim Start des Volla Phone 22 auswählen. Gründer Dr. Jörg Wurzer: "Damit haben nicht nur Neugierige und Unschlüssige die Möglichkeit, ein Betriebssystem wie Ubuntu Touch auszuprobieren, sondern auch private und berufliche Anwender können so strikt trennen und persönliche Daten schützen."

Die Multi-Boot Funktion ermöglicht einen unkomplizierten Wechsel zu einem alternativen Betriebssystem wie Ubuntu Touch ohne Datenverlust. Benötigt ein Anwender eine Android-App, die für Ubuntu Touch oder eine andere Alternative nicht verfügbar ist, steht das Volla OS bereit, das auf der quelloffenen Variante von Android basiert.

Das vorinstallierte Ubuntu Touch System ist ideal für Anwender die Ubuntu auf dem PC verwenden und Wert auf eine einheitliche Programmwelt und wiedererkennbare Konzepte wie die Seitenleiste legen. Und für Puristen, die grundlegende Funktionen eines Smartphones wie Telefonie, Kurzmitteilungen, Fotos, Browser etc. verwenden wollen, aber nicht auf Datenschutz und Sicherheit verzichten möchten.

"Mit dem Volla Phone 22 wollen wir den Anwendern ihre Freiheit zurückgeben. Jene Freiheit von der Zeit und Aufmerksamkeit, die heutige Smartphones einfordern", so Gründer Dr. Jörg Wurzer. Dazu gehöre auch, dass man selbst entscheiden kann, welches Betriebssystem man nutzt und mit wem welche Daten geteilt werden.

Um Ubuntu Touch für das Volla Phone 22 anbieten zu können, arbeitet die Hallo Welt Systeme eng mit der UBports Stiftung zusammen, mit der das Betriebssystem gemeinsam weiterentwickelt wird. Ricardo Mendoza von der UBports Stiftung zur Partnerschaft: "Ubuntu Touch steht für Wahlfreiheit und das neue mobile Angebot von Volla wird zweifelsohne stark in den Fokus rücken - sowohl für bestehende Ubuntu Touch Nutzer, als auch für Neueinsteiger. Mit dem Volla Phone 22 sehen wir einen fantastischen Sprung nach vorne in Bezug auf Qualität, Benutzerfreundlichkeit und der Rückgabe der Kontrolle in die Hände der Benutzer. Wir freuen uns, dass wir damit allen Menschen auf der Welt helfen können, wieder die Wahl zu haben, wenn es um etwas so Wichtiges wie ein Mobiltelefon geht."

Das Konzept begeistert seit seiner Markteinführung Nutzer rund um die Welt: Tausende Volla Phones wurden seither in über 55 Länder der Welt verschickt. Es entstand eine internationale Community von Entwicklern und Nutzern. Ihre Anregungen und ihre Ideen haben Dr. Wurzer und sein Team inspiriert, einen weiteren Evolutionssprung vorzubereiten: das Volla Phone 22.

Die Hardware: Eleganz trifft auf Leistung

Die nächste Generation des Smartphones "Made in Germany" kombiniert elegantes Design, eine hohe Leistung sowie nachhaltige Hardware, die wieder vom Partner Gigaset Communications in Bocholt gefertigt wird. Das edle Gehäuse kommt dabei mit Glasrücken und ist in Klavierlackoptik oder frischem weiß erhältlich. Die Kameralinsen sind in das Gehäuse eingelassen und unterstreichen auf diese Weise das minimalistische Design. Mit seinen abgerundeten Seiten liegt das Volla Phone 22 zudem perfekt in der Hand und die diskrete LED-Beleuchtung für Benachrichtigungen fügt sich nahtlos in das puristische Konzept ein. Die Nachhaltigkeit wird neben dem schlanken Betriebssystem und leistungsstarken Prozessor nun auch durch eine austauschbare Batterie begründet.

Vorbestellung via Kickstarter möglich

Seit Mitte April 2022 wird die neue Generation des Smartphones auf der Crowdfunding-Plattform Kickstarter vorgestellt. Die ersten 50 Geräte sind dabei zu Early Bird Konditionen für 358 Euro erhältlich, danach kann das Volla Phone 22 für voraussichtlich 439 Euro mit Volla OS oder Ubuntu Touch als "Belohnung" für die Unterstützung der Kampagne erworben werden. Für 398 Euro soll es später im Handel erscheinen.

Ausschlaggebend für den Produktionsstart und die Auslieferung im Juni 2022 ist dabei das Erreichen der Zielsumme von 10.000 Euro. Gründer Dr. Wurzer zeigt sich zuversichtlich: "Unsere erste Generation haben wir ebenfalls zum Teil via Crowdfunding finanziert. Die Community hat uns bestätigt, dass es Zeit für eine Smartphone-Alternative abseits der Big-Tech-Konzerne ist. Mit dem Volla Phone 22 wollen wir das Versprechen, das wir gegeben haben, erneut einlösen und freuen uns über jede Unterstützung auf unserem Weg, unseren Kunden ihre Freiheit zurückzugeben."

Direktlink zur Kickstarter-Kampagne: https://bit.ly/volla22

Volla Phone 22 Leistungsmerkmale (Besonderheiten)
* 6,3 Zoll Anzeige mit Notch für Selfie-Kamera
* 8-Kern-Prozessor mit MediaTek HyperEngine Technology
* 48 MP Hauptkamera + 8 MP Ultraweitwinkel- und Makrokamera
* 4 + 128 GB Interner Speicher
* 2 SIM Karten + 1 Speicherkarte für bis zu einem halben TB
* Mehr Frequenzbänder für internationale Netze

Kontakt:
Hallo Welt Systeme UG (haftungsbeschränkt)
Dr. Jörg Wurzer
Telefon: +49 151 65473083
E-Mail: Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!

Über das Volla Phone
Mit dem Volla Phone und dem Volla Phone X hat die Hallo Welt Systeme UG aus Remscheid das Konzept "Smartphone" vor zwei Jahren komplett neu gedacht: Bedienungselemente wie das Sprungbrett machen eine einfache und schnelle Bedienung möglich: Nach dem Entsperren des Geräts beginnt der Anwender in ein Textfeld zu tippen und das Volla Phone erkennt, was die Person tun möchte: etwa jemanden anrufen, eine Nachricht senden oder eine Notiz festhalten. Häufig verwendete Funktionen können mit einer einzigen Geste aufgerufen werden, ohne dass zuerst die passende App gestartet werden muss.

Alternativ zur Variante mit der Eigenentwicklung Volla OS ist das Gerät auch mit der mobilen Linux-Version Ubuntu Tooch erhältlich, für die sich bisher rund 30 % der Volla-Kunden entschieden haben.

Gemeinsam mit anderen kleinen und mittleren Unternehmen und Organisationen hat Volla Phone-Gründer Dr. Jörg Wurzer eine Allianz für mehr Unabhängigkeit, Selbstbestimmung, Schutz der Privatsphäre ins Leben gerufen, die Themen wie Datenschutz, digitale Selbstbestimmung, Open Source, Privatsphäre und Unabhängigkeit von den großen Technologie-Unternehmen vorantreiben möchte. Zu den Partnern zählen Gigaset Communications, die UBports Foundation, der VPN Anbieter Hide.me, die Suchmaschinen Startpage und Metager sowie der sichere, verschlüsselte E-Maildienst StartMail.

Aussender: gumpelmedia - digital media agentur
Ansprechpartner: Wolfgang Gumpelmaier-Mach
E-Mail: Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!
Website: www.gumpelmaier.net