Werbung
Beinahe täglich lesen wir Berichte zu Behörden oder Unternehmen, die durch Ransomware lahmgelegt wurden. Die vermeintlichen Angreifer gehen dabei meist relativ passiv vor, setzen auf Masse und befallen die Systeme und Netzwerke meist über schlecht gesicherte Active-Directory-Verwaltungen und Makros. Wenn nötig, kommt auch ein etwas gezielteres Social Engineering hinzu.
Beim Anbieter von "First Person View"-Brillen Orqa sieht der Angriff aber etwas anders aus. Angefangen hat alles am Wochenende zum 1. Mai. Seit Sonntagnachmittag funktionieren die FPV-Brillen nicht mehr – allesamt und zur gleichen Zeit. Zunächst vermutete der Hersteller, dass es sich um einen Fehler in der Firmware handelt, der zu einem bestimmten Datum und einer bestimmten Uhrzeit greift und die Brillen zunächst unbrauchbar macht.
Nun aber hat man ein Statement veröffentlicht, in dem der wahre Grund steht, warum alle Brillen gleichzeitig ausgefallen sind. Demnach handelt es sich um eine Zeitbombe in der Firmware, die in den Bootloader eingebaut war. Ein externer Dienstleiter sorgte für den dazugehörigen Code und hat darin auch die Zeitbombe platziert.
Der entsprechende Code befindet sich laut Orqa bereits einige Jahre im Bootloader, blieb bisher aber unentdeckt, was sicherlich auch die Frage aufwirft, warum hier nicht besser geprüft wurde.
Within 5 or 6 hours into this crisis, Saturday early afternoon, we found that this mysterious issue was a result of a ransomware time-bomb, which was secretly planted a few years ago in our bootloader by a greedy former contractor, with an intention to extract exorbitant ransom from the Company.
The perpetrator was particularly perfidious, because he kept occasional business relations with us over these last few years, as he was waiting for the code-bomb to ‘detonate’, presumably so as not to raise suspicion and hoping that he will be able to extract more ransom as our business and our market share grew.
Ransomware was programmed to ‘explode’ in a way to cause maximum crisis: it was timed so it activates on a spring Saturday, during a long weekend, when most of you should be flying, and most of our engineering team should be enjoying their well-deserved days off. Supposedly, this would put the Company in the panic mode, and give the perpetrator a sufficient leverage to extort his ransom.
Motivation hinter der Firmware-Zeitbombe soll wohl ein Erpressungsversuch sein. Forderungen gab es aber offenbar noch keine. Stattdessen hat der Programmierer des Codes versucht Schadensbegrenzung zu betreiben und eine unsignierte Firmware veröffentlicht, welche die FPV-Brillen wieder funktionsfähig machen soll. Orqa warnt aber davor diese Firmware zu installieren, da diese von einer Person komme, die schon einmal Schadcode in die Firmware eingebaut hat.
Stattdessen habe man nun die notwendigen Beweise gesichert und arbeite mit den Behörden zusammen. Nun könne man damit beginnen, die Firmware zu bereinigen, was auch schon geschehen sein soll. Entsprechend wird es bald Firmware-Updates für die Brillen geben, damit diese dann auch wieder funktionsfähig sind.
Es handelt sich hierbei sicherlich um einen eher ungewöhnlichen Ransomware-Angriff, der letztendlich wohl auch nicht wirklich auf ein Lösegeld abzielte – so zumindest lässt sich dies dem Statement entnehmen. In dieser Form haben wir einen Ausfall einer Hardware beim Endkunden aber auch noch nicht erlebt, was den Fall sicherlich interessant macht.
Update: Neue Firmware verfügbar
Orqa hat nun die neue Firmware für seine Brillen veröffentlicht, die hier heruntergeladen werden kann. Uns liegt auch die E-Mail, in der beschrieben wird, wir diese neue Firmware installiert werden sollte. Da diese Anleitung noch nicht auf der Webseite von Orqa zu finden ist, veröffentlichten wir sie an dieser Stelle:
Orqa FPV.One
First, make sure to format your SD card. Next, unzip the ONE_V1.zip folder on the root of your SD card. Then, turn on your goggles, and once they've powered up, insert the SD card in the goggles. You’ll hear some beeps and goggles will turn off automatically after a few seconds. Then, turn on the goggles again and wait for the update process to complete. Once the update is finished, the goggles will restart automatically - once that happens, make sure to format your SD card and you're all done!IMPORTANT NOTE: If the update process is taking longer than 5 minutes, make sure to repeat all the mentioned steps at least once or twice before contacting Orqa support, since the procedure has already been tested on V1/V2/Race models of the goggles
Orqa FPV.One Pilot
First, make sure to format your SD card. Next, unzip the ONE_V2.zip folder on the root of your SD card. Then, turn on your goggles, and once they've powered up, insert the SD card in the goggles. You’ll hear some beeps and goggles will turn off automatically after a few seconds. Then, turn on the goggles again and wait for the update process to complete. Once the update is finished, the goggles will restart automatically - once that happens, make sure to format your SD card and you're all done!
IMPORTANT NOTE: If the update process is taking longer than 5 minutes, make sure to repeat all the mentioned steps at least once or twice before contacting Orqa support, since the procedure has already been tested on V1/V2/Race models of the goggles.
Orqa FPV.One Race
First, make sure to format your SD card. Next, unzip the ONE_RACE.zip folder on the root of your SD card. Then, turn on your goggles, and once they've powered up, insert the SD card in the goggles - 10 seconds after you’ve inserted the SD card, make sure to turn off your goggles manually by pulling out the battery! Then, turn on the goggles again and wait for the update process to complete. Once the update is finished, the goggles will restart automatically - once that happens, make sure to format your SD card and you're all done!
IMPORTANT NOTE: If the update process is taking longer than 5 minutes, make sure to repeat all the mentioned steps at least once or twice before contacting Orqa support, since the procedure has already been tested on V1/V2/Race models of the goggles.