+43 699 / 18199463
office@itexperst.at
NSA Schadsoftware von Chinesen gestohlen und verwendet

NSA Schadsoftware von Chinesen gestohlen und verwendet

Ein Forschungsbericht zeigt, dass chinesische Hacker 2014 eine Schadsoftware der amerikanischen NSA gestohlen und geklont hatten. Damit konnten sie drei Jahre lang eine ungepatchte Schwachstelle in den Windows Versionen XP bis Windows 8 ausnutzen.

Forscher von Check Point haben im Februar einen Bericht veröffentlich, der aufzeigt, wie die chinesische Hackergruppe APT31 eine wichtige Schadsoftware von dem amerikanischen Geheimdienst gestohlen hatte. Entwickelt worden war es zuvor von der Equation Group, einer Untereinheit der NSA, genannt Tailored Access Operations, kurz TAO. Die gestohlene Schadsoftware wird unter dem Namen EpMe geführt. Sie hilft Hackern, erweiterte Admin-Privilegien in Systemen zu erhalten.

Begehrte NSA Schadsoftware mehrmals gestohlen

2016 hatte es große Schlagzeilen gemacht, als die Equation Group selbst Opfer eines Hackerangriffs geworden war. Die Hackergruppe The Shadow Brokers steckte dahinter und bot ein Arsenal mit der gestohlenen NSA-Schadsoftware zum Verkauf an. Es stellt sich aber erst jetzt heraus, dass APT31 die NSA-Schadsoftware bereits schon zwei Jahre zuvor gestohlen hatte. Inzwischen weiß man, wie verheerend die Folgen derartiger hoch entwickelter Schadsoftware sein kann. WannaCry richtete furchtbare Schäden an in IT-Netzwerden in aller Welt. Daher stellte sich nun für die Check Point Forscher die Frage, was APT31 in den drei Jahren alles damit angestellt hatte. Die Forscher hatten die ehemalige NSA-Schadsoftware entdeckt, als sie ältere Windows-Rechte-Eskalations-Tools durchsucht hatten. Davon wurden sogenannte „Fingerabdrücke“ erstellt, mit denen sie diese Tools bestimmten Gruppen zuordnen konnten.

NSA Schadsoftware – aus EpMe wurde Jian

Jian ist ein Zero-Day-Exploit und stammt aus der Windows Local-Privilege-Escalation-Schwachstelle EpMe, offiziell als CVE-2017-0005 bezeichnet. EpMe gibt es schon seit etwa 2013 und 2017 wurde APT31 dabei ertappt, sie einzusetzen. Die Forschergruppe aus Israel hat nun eindeutige Beweise dafür gefunden, dass die chinesischen Hacker offensichtlich Zugriff auf das umfangreiche Arsenal an Schadsoftware der Equation Group gehabt hatte. Sie konnten sowohl die 32-Bit- und auch die 64-Bit-Versionen abgreifen.

Wie genau APT31 sich EpMe aneignete ist den Check Point Forschern nicht eindeutig klar. Sie haben dafür jedoch mehrere Denkansätze. EpMe könnte bei einem Angriff der Equation Group auf ein chinesisches Ziel erbeutet worden sein. Auch möglich sei, dass sich die beiden Hackergruppen im gleich Opfernetzwerk aufhielten und die Chinesen so an EpMe gelangten. Nicht auszuschließen sei auch, dass APT31 Equation Group direkt angegriffen hatte und so an die Schadsoftware kam.

Bei der Untersuchung von Jian tauchte auch übrigens auch ein Modul auf, das vier Privilegienerweiterungs-Exploits enthielt. Diese waren alle Teil des DanderSpritz-Frameworks der Equation Group. Zwei dieser Exploits waren Zero-Day-Schwachstellen aus 2013 – die eine war EpMe und die andere EpMo. Letztere wurde von Microsoft ohne viel Aufhebens im Mai gepatcht, als die Shadow Brokers ihr Unwesen trieben. Die anderen beiden Schadcodes sind EIEi und ErNi. Obwohl Microsoft die Lücke im März 2017 gepatcht hatte, konnte APT 31 ihr Jian-Tool weiter einsetzen.

Jian Schwachstelle erst 2017 gepatcht

Ein IT-Sicherheitsteam des amerikanische Rüstungs- und Technologiekonzerns Lockheed Martin hatte CVE-2017-0005 entdeckt. Bei der Evaluierung von Software und Technologien von Drittanbietern sollten Schwachstellen identifiziert werden. Das Team war dabei, routinemäßige Checks durchzuführen, als ihnen die Malware dabei auffiel. Daraufhin informierte die Lockheed Martin Forscher Mircosoft Anfang 2017.

Die Check Point Forscher gehen davon aus, dass Lockheed überwiegend Kunden in den USA bedient. Demnach wäre Jian also gegen amerikanische Unternehmen eingesetzt worden. Check Points Cyberforschungsleiter Yaniv Balmas sagte dazu:

„Wir haben schlüssige Beweise dafür gefunden, dass einer der Exploits, die die Shadow Brokers geleakt haben, irgendwie schon zuvor in die Hände von chinesischen Akteuren gelangt war. Und es ist nicht nur in ihre Hände gelangt, sondern sie haben sie geklont und eingesetzt – wahrscheinlich gegen US-Ziele.“

Artikel von checkpoint.com, 22.02.2021: The Story of Jian – How APT31 Stole and Used an Unknown Equation Group 0-Day
Artikel von wired.com, 22.02.2021: China Hijacked an NSA Hacking Tool in 2014—and Used It for Years
Artikel von zdnet.com, 22.02.2021: Chinese hackers cloned attack tool belonging to NSA’s Equation Group
Artikel von bleepingcomputer.com, 22.02.2021: Chinese hackers used NSA exploit years before Shadow Brokers leak

Beitragsbild: Public Domain, Creative Commons CC0 von Faisal Rahman von Pexels.com

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen