Der kriselnde US-Chiphersteller Intel bekommt einen neuen Großaktionär: Die US-Regierung erhält knapp zehn Prozent der Intel-Anteile. Diese direkte Beteiligung der US-Regierung an Intel dürfte bei Sicherheitsforschern außerhalb der USA starke Bedenken wecken. Denn in Prozessoren und Chipsätzen von Intel sind kryptografische Funktionen wie SGX und TDX verankert. Sie sind nur dann sinnvoll einzusetzen, wenn man dem Unternehmen Intel vertraut.

Doch wie vertrauenswürdig ist eine „Remote Attestation“, die ein Intel-Server aus den USA der Trump-Regierung liefert? Die Einschätzung war für Firmen außerhalb der USA schon bisher schwierig, weil US-Firmen durch Gesetze wie den CLOUD Act zu Kooperation mit US-Behörden verpflichtet sind. Die direkte Beteiligung der US-Regierung am Unternehmen Intel verschärft dieses Problem.

Vertrauensschwund

Aus Sicht vieler europäischer Firmen dürfte eine verschlüsselte RAM-Enklave, die auf einer Zertifikatskette eines US-Unternehmens mit direkter Beteiligung der US-Regierung aufbaut, gerade keine allgemein „vertrauenswürdige Ausführungsumgebung“ (Trusted Execution Environment/TEE) sein.

Genau das ist aber Daseinszweck der Trusted Domain Extensions (TDX) Intels, die beispielsweise dem „Confidential Computing“ in der Cloud dienen sollen.

Manche Cloud-Dienstleister nutzen Funktionen wie TDX auch für sogenannte souveräne Clouds (Sovereign Cloud). Seit dem Amtsantritt Donald Trumps werden solche Angebote in Europa stärker beworben – gerade von US-Konzernen wie Amazon AWS, Microsoft Azure, Google Cloud und Oracle Cloud Infrastructure (OCI). Je nach Angebot dienen dabei aber auch andere Hardware-Sicherheitsmodule (HSM) als Schlüsselspeicher.

Potenzielle Nutzer solcher Angebote müssen jedenfalls genau prüfen, in welchen Händen die Schlüsselgewalt über ihre Daten am Ende liegt. Intels x86-Konkurrent AMD baut Funktionen wie RAM-Verschlüsselung für Confidential Computing ebenfalls in seine (Epyc-)Prozessoren für Server ein.

Intel fürchtet Absatzschwund

In einer Mitteilung an die US-Börsenaufsicht SEC warnt Intel unter anderem vor dem Risiko, dass die Beteiligung der US-Regierung „die Geschäfte außerhalb der USA negativ beeinflussen könne“. Und im Ausland hat Intel mit 76 Prozent den größten Teil der Umsätze des Geschäftsjahres 2024 erzielt.

Abgesehen von diesem Risiko zählt die SEC-Mitteilung eine Reihe offener Fragen auf. Demnach ist unklar, wie sich der Einstieg der US-Regierung auf Steuern sowie Gewinn- und Verlustrechnung auswirken werde.

Intel betont allerdings, dass die US-Regierung keinen Repräsentanten im Verwaltungsrat (Board of Directors) stellen wird und keine Anweisungs- und Informationsbefugnisse erhält. Sie muss ihre Stimmrechte – von wenigen technischen Ausnahmen abgesehen – immer gemäß dem Vorschlag des Intel-Managements ausüben. Das stärkt das Management zulasten anderer Aktionäre.

Andererseits arbeitet Intel im Auftrag des US-Verteidigungsministeriums (Department of Defense, DoD) an einer öffentlich nicht näher beschriebenen „Secure Enclave“. Die Technik soll unter anderem die Verfügbarkeit moderner Chips für die Nationale Sicherheit der USA sichern.

(ciw)

IT-Sicherheitsforscher von Zscalers ThreadLabz überwachen den Google Play Store und analysieren darüber verteilte bösartige Apps. Besonders im Fokus steht die Malware Anatsa (auch als Teabot bekannt), die Android-Geräte angreift und auf Finanz-Apps abzielt. Erste Samples wurden bereits 2020 entdeckt, nun hat sich die Malware jedoch deutlich weiterentwickelt.

In ihrer Analyse schreiben die Zscaler-Forscher, dass Anatsa ursprünglich als Banking-Trojaner startete, der Zugangsdaten stehlen, Keylogging betreiben und betrügerische Transaktionen ausführen konnte. Die jüngste Inkarnation kann inzwischen 831 Finanzinstitutionen weltweit angreifen. Außerdem sind Institute in Deutschland und Südkorea neu hinzugekommen – nebst Kryoptwährung-Plattformen. Die Auslieferung des bösartigen Codes haben die Drahtzieher verschlankt, indem sie das dynamische Laden von Dalvik-Executable-Payloads (DEX) aus dem Netz durch direkte Installation des Anatsa-Schadcodes ersetzt haben.

Tarn-Apps mit hohen Download-Zahlen

Viele der Tarn-Apps, die Anatsa mitbringen, haben Installationszahlen von mehr als 50.000 Downloads im Play Store, gibt Zscaler an. Mit Beifang, also Malware-Apps mit nicht-Anatsa-Schadcode, kommen die IT-Forscher auf 77 Apps, die insgesamt mehr als 19 Millionen Mal installiert wurden. Diese hat Zscaler an Google gemeldet.

Die vorhergehenden Anatsa-Kampagnen hatten noch mehr als 650 Finanzinstitutionen zum Ziel. Unter den etwa 180 hinzugekommenen finden sich mehr als 150 neue Banking- und Kryptowährungs-Apps. Anatsa setzt auf eine Dropper-Technik, bei der die bösartige App im Google Play Store bei Installation harmlos erscheint. Nach der Installation lädt Anatsa jedoch als Update getarnten Schadcode vom Command-and-Control-Server herunter. Dadurch umgeht Anatsa den Erkennungsmechanismen im Play Store und kann erfolgreich Geräte infizieren. Das Zscaler-Team analysiert zudem die Tarnmechanismen genauer. So kommt etwa ein defektes Archiv zum Einsatz, um eine DEX-Datei zu verstecken, die zur Laufzeit aktiviert wird. Standard-ZIP-Tools können wegen des Defekts die Datei nicht analysieren und die Malware vorbei schlüpfen.

Zugangsdaten leitet Anatsa aus, indem die Malware gefälschte Log-in-Seiten anzeigt, die sie vom Command-and-Control-Server herunterlädt. Die Seiten sind maßgeschneidert an die Apps der Finanzinstitute, die Anatsa auf dem Smartphone vorfindet.

In ihrer Analyse nennen die Zscaler-Forscher vier Indizien für einen Befall (Indicators of Compromise, IOCs). Eine vollständige Liste der 77 bösartigen Apps fehlt jedoch – nach Meldung an Google sind die offenbar jedoch nicht mehr im Play Store verfügbar und mittels Google Play Protect auch von Smartphones im Google-Kosmos automatisch entfernt worden.

Im vergangenen Jahr hatte Zscaler einen Lagebericht herausgegeben, dem zufolge das Unternehmen mehr als 200 bösartige Apps im Google Play Store aufgespürt hatte. Die kamen jedoch lediglich auf 8 Millionen Installationen, diese Zahl hat sich also mehr als verdoppelt.

(dmk)

Eine prorussische Hackergruppe steht den Ermittlungen zufolge im Verdacht, für den Cyberangriff auf die Webseite der Stadt Nürnberg im Juli verantwortlich zu sein. Dabei handle es sich um die Gruppierung „NoName057(16)“, teilte ein Sprecher der Zentralstelle Cybercrime bei der Generalstaatsanwaltschaft Bamberg mit. Es werde noch geprüft, ob ein Zusammenhang zu den Ermittlungen der Generalstaatsanwaltschaft Frankfurt am Main und des Bundeskriminalamts bestehe.

Die Internetseite der Stadt Nürnberg war im Juli nach einer sogenannten DDoS-Attacke über Stunden nicht mehr zuverlässig erreichbar gewesen. Bei solchen Angriffen werden Websites mit massenhaften Zugriffen so überlastet, dass sie zusammenbrechen.

Attacken gingen zum Teil über Tage

Deutsche und internationale Strafverfolgungsbehörden waren Mitte Juli gegen das Hacker-Netzwerk „NoName057(16)“ vorgegangen und hatten dabei ein aus weltweit verteilten Servern bestehendes Botnetz abgeschaltet, das für gezielte digitale Überlastungsangriffe auf Internetseiten eingesetzt wurde. In Deutschland erließen die Ermittler sechs Haftbefehle gegen russische Staatsangehörige beziehungsweise in Russland wohnhafte Beschuldigte. Zwei von ihnen sollen die Hauptverantwortlichen hinter der Gruppe sein.

Bei NoName057(16)“ handelt es sich laut BKA um ein ideologisch geprägtes Hacktivisten-Kollektiv, das sich als Unterstützer Russlands positioniert hat und im Kontext des Russland-Ukraine-Konflikts Cyberangriffe durchführt. Seit Beginn der Ermittlungen im November 2023 soll Deutschland Ziel von 14 Angriffswellen gewesen sein, die zum Teil über Tage dauerten.

(afl)