Symantec: NSA verlor Hacking-Tools bereits 2016 an China

Bereits ein Jahr vor der Veröffentlichung der NSA-Hacking-Tools durch The Shadow Brokers soll die Hackergruppe Buckeye ähnliche Software für Angriffe eingesetzt haben. Die Gruppe wird dem chinesischen Ministerium für Staatssicherheit zugeordnet.

Artikel veröffentlicht am ,
NSA-Hauptquartier in Fort Meade, Maryland.
NSA-Hauptquartier in Fort Meade, Maryland. (Bild: Saul Loeb/AFP/Getty Images)

Der US-Geheimdienst National Security Agency (NSA) hat nach einem Bericht der New York Times bereits 2016 Hacking-Tools an eine staatliche Hackergruppe verloren. Die Software stammt aus dem Fundus der NSA-Hacking-Abteilung Equation Group. Sie sollen von der Advanced Persistent Threat (APT) Buckeye, die dem chinesischen Ministerium für Staatssicherheit zugeordnet wird, seit 2016 gegen Ziele in Europa und Asien eingesetzt worden sein. Im Jahr 2017 wurden ähnliche Tools von der Hackergruppe The Shadow Brokers veröffentlicht.

Stellenmarkt
  1. Information Security Experts (m/w/d)
    Allianz ONE - Business Solutions GmbH, Unterföhring, Stuttgart
  2. Teamleitung IT-Sicherheitsberatung (w/m/d)
    Dataport, Altenholz/Kiel, Halle (Saale), Hamburg, Magdeburg, Rostock
Detailsuche

Buckeye soll die NSA-Backdoor Doublepulsar gegen Ziele in Hongkong, Belgien, Luxemburg, Vietnam und den Philippinen eingesetzt haben. Es gebe keine Hinweise darauf, dass die USA mit den Programmen ihres Geheimdienstes angegriffen wurde, heißt es in dem Bericht. Die Sicherheitsfirma Symantec vermutet, dass die Angreifer davon ausgingen, dass die USA entweder Schutzmaßnahmen gegen die hauseigenen Tools entwickelt hätten oder schlicht nicht enttarnt werden wollten.

Die von Buckeye eingesetzte Doublepulsar-Version habe sich von der im April durch The Shadow Brokers veröffentlichten Version unterschieden: Sie habe neuere Windows-Versionen unterstützt und zusätzliche Funktionen zur Tarnung enthalten, schreibt Symantec in einer Untersuchung. Die Änderungen könnten laut Symantec durchaus von den ursprünglichen Autoren der Schadsoftware stammen.

China und die NSA-Tools

Wie Buckeye, die auch Gothic Panda, Threat Group-0110 oder schlicht APT3 genannt wird, vor dem Leak durch The Shadow Brokers an die NSA-Tools gelangen konnte ist unbekannt. Symantec spekuliert, dass Buckeye die Software aus Spuren, die ein Angriff hinterlassen habe, nachgebaut haben könnte. Sie könnten aber auch schlicht von einem schlecht gesicherten Server der Equation Group stammen oder bei einem Angriff abhanden gekommen sein.

Golem Karrierewelt
  1. Deep Dive: Data Governance Fundamentals: virtueller Ein-Tages-Workshop
    22.02.2023, Virtuell
  2. Deep-Dive Kubernetes – Observability, Monitoring & Alerting: virtueller Ein-Tages-Workshop
    10.11.2022, Virtuell
Weitere IT-Trainings

Die Zuordnung von Hackerangriffen, insbesondere zu APTs, ist ein komplexes Unterfangen. Symantec geht aufgrund der Kombination von der Backdoor Doublepulsar mit für Buckeye typischer Schadsoftware wie Pirpi davon aus, dass es sich um die APT Buckeye handelt. Symantec habe seit der Enttarnung von Buckeye durch die USA 2017 keine Aktivität der Hackergruppe mehr festgestellt, allerdings sei die Schadsoftware der Equation Group weiter zum Einsatz gekommen. Symantec spekuliert, dass Buckeye die Tools an eine andere Gruppe weitergegeben haben oder mit neuer Software weiter aktiv sein könnte

Der Fall kann allerdings auch als weiterer Beleg für die Komplexität der Zuordnung von Angriffen gesehen werden: Verwenden die Angreifer gestohlene Tools von anderen APTs oder überwachen Hacker und übernehmen deren Programme und Angriffstechniken, erschwert dies die Zuordnung. Diese basiert meist auf Indizien wie den verwendeten Tools, den Timestamps in der Software, dem Vorgehen der Angreifer oder der Agenda des jeweiligen Landes.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Streit mit Magnus Carlsen
Schachgroßmeister Niemann soll über 100 Mal betrogen haben

Schachweltmeister Magnus Carlsen wirft dem Großmeister Hans Niemann Betrug vor - eine neue Untersuchung stärkt die Vorwürfe.

Streit mit Magnus Carlsen: Schachgroßmeister Niemann soll über 100 Mal betrogen haben
Artikel
  1. Airpods Pro 2 im Test: Apple schaltet Lärm und Konkurrenz aus
    Airpods Pro 2 im Test
    Apple schaltet Lärm und Konkurrenz aus

    Mit sinnvollen Änderungen sind die Airpods Pro 2 das Beste, was es derzeit an ANC-Hörstöpseln gibt. Aber Apples kundenfeindliche Borniertheit nervt.
    Ein Test von Ingo Pakalski

  2. Vodafone und Telekom: Zwei Netzbetreiber melden Datenrekord auf Oktoberfest
    Vodafone und Telekom
    Zwei Netzbetreiber melden Datenrekord auf Oktoberfest

    Die Telekom liegt beim Datenvolumen klar vor Vodafone. Es gab in diesem Jahr besonders viel Roaming durch ausländische Netze.

  3. Dr. Mike Eissele: Es kann immer wieder technologische Revolutionen geben
    Dr. Mike Eissele
    "Es kann immer wieder technologische Revolutionen geben"

    Chefs von Devs Teamviewer-CTO Dr. Mike Eissele gibt einen tiefen Einblick, wie man sich auf eine Arbeitswelt ohne Bildschirme vorbereitet.
    Ein Interview von Daniel Ziegener

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Günstig wie nie: Inno3D RTX 3090 Ti 1.199€, MSI B550 Mainboard 118,10€, LG OLED 48" 799€, Samsung QLED TVs 2022 (u. a. 65" 899€, 55" 657€) • Alternate (Acer Gaming-Monitore) • MindStar (G-Skill DDR4-3600 16GB 88€, Intel Core i5 2.90 Ghz 99€) • 3 Spiele für 49€ [Werbung]
    •  /