Bvp47: Chinesische IT-Forscher ordnen Backdoor der NSA zu

Das chinesische Pangu Lab bezichtigt die National Security Agency (NSA), eine Linux-Malware geschrieben und eingesetzt zu haben. Im Jahr 2013 fanden die Forscher des Pangu Lab Samples einer Backdoor "in einem Host in einer wichtigen Abteilung im [chinesischen] Inland". Mit einem 2017 veröffentlichten privaten Schlüssel der Equation Group, die der NSA zugeordnet wird, konnten sie diese Backdoor aktivieren. Der nun entdeckte Zusammenhang geht aus einem Bericht hervor, der am Mittwoch veröffentlicht wurde.

Das Pangu Lab taufte die Backdoor Bvp47: eine Kombination aus dem häufigsten String und einem numerischen Wert aus dem Verschlüsselungsalgorithmus. Die Malware solle unter anderem Methoden zur Codeverschleierung, Selbstzerstörung und dem Verstecken im System implementiert haben. Zudem nutze sie einen bisher unbekannten Angriffsweg auf Grundlage von TCP-SYN-Paketen. Es handle sich "nach einigen Verhaltensfunktionen zu urteilen, um eine APT-Backdoor der Spitzenklasse", schreibt das Team in seinem Bericht.

The Shadow Brokers veröffentlichten im Jahr 2017 etliche NSA-Tools. Unter anderem versteigerten sie die Exploits. Auch eine chinesische Hackergruppe nutzte demnach die Zero Days der NSA.

Seltene, aber wichtige Attribuierung

Attributierung von Hacking-Tools und Angriffen ist meist nicht eindeutig und knallharte Beweise fehlen oft. Zudem sei es "ziemlich rar", dass chinesische Forscher Untersuchungen zu US-amerikanischen Geheimdienstaktivitäten veröffentlichen, sagt Adam Segal Motherboard. Segal ist Sicherheitsexperte mit einem Fokus auf China und Digitalthemen.

Es liegt nahe, dass die jetzige Veröffentlichung der Erkenntnisse politisches Kalkül bedient. Martijn Grooten, Sicherheitsanalyst bei Internews, sagte Motherboard: "Ich weiß nicht, wer die Kunden von Pangu sind, aber es könnte auch etwas sein, was ihre Kunden gerade hören wollen, so wie viele westliche Cybersicherheitsunternehmen über russische Malware berichten, weil jeder im Westen gerade davon hören will."

Richard Bejtlich, Mitarbeiter bei der Sicherheitsfirma Corlight, konstatierte im Gespräch mit Motherboard, dass es wichtig sei, internationales Gleichgewicht bei Attribuierung zu erlangen: Wenn eine Partei keine Einsicht in die Aktionen des Gegners habe, führe dies zu Paranoia und dem Verlangen, als erster handeln zu wollen. Es sei eine klassische Geheimdienstsituation: "Deshalb sind Spione auf beiden Seiten besonders wichtig", sagte er.