Symantec: NSA verlor Hacking-Tools bereits 2016 an China

Bereits ein Jahr vor der Veröffentlichung der NSA-Hacking-Tools durch The Shadow Brokers soll die Hackergruppe Buckeye ähnliche Software für Angriffe eingesetzt haben. Die Gruppe wird dem chinesischen Ministerium für Staatssicherheit zugeordnet.

Artikel veröffentlicht am ,
NSA-Hauptquartier in Fort Meade, Maryland.
NSA-Hauptquartier in Fort Meade, Maryland. (Bild: Saul Loeb/AFP/Getty Images)

Der US-Geheimdienst National Security Agency (NSA) hat nach einem Bericht der New York Times bereits 2016 Hacking-Tools an eine staatliche Hackergruppe verloren. Die Software stammt aus dem Fundus der NSA-Hacking-Abteilung Equation Group. Sie sollen von der Advanced Persistent Threat (APT) Buckeye, die dem chinesischen Ministerium für Staatssicherheit zugeordnet wird, seit 2016 gegen Ziele in Europa und Asien eingesetzt worden sein. Im Jahr 2017 wurden ähnliche Tools von der Hackergruppe The Shadow Brokers veröffentlicht.

Stellenmarkt
  1. Developer Full Stack (w/m/d)
    ORSOFT, Leipzig
  2. SAP Logistik-Berater (m/w/x)
    über duerenhoff GmbH, Raum Bielefeld
Detailsuche

Buckeye soll die NSA-Backdoor Doublepulsar gegen Ziele in Hongkong, Belgien, Luxemburg, Vietnam und den Philippinen eingesetzt haben. Es gebe keine Hinweise darauf, dass die USA mit den Programmen ihres Geheimdienstes angegriffen wurde, heißt es in dem Bericht. Die Sicherheitsfirma Symantec vermutet, dass die Angreifer davon ausgingen, dass die USA entweder Schutzmaßnahmen gegen die hauseigenen Tools entwickelt hätten oder schlicht nicht enttarnt werden wollten.

Die von Buckeye eingesetzte Doublepulsar-Version habe sich von der im April durch The Shadow Brokers veröffentlichten Version unterschieden: Sie habe neuere Windows-Versionen unterstützt und zusätzliche Funktionen zur Tarnung enthalten, schreibt Symantec in einer Untersuchung. Die Änderungen könnten laut Symantec durchaus von den ursprünglichen Autoren der Schadsoftware stammen.

China und die NSA-Tools

Wie Buckeye, die auch Gothic Panda, Threat Group-0110 oder schlicht APT3 genannt wird, vor dem Leak durch The Shadow Brokers an die NSA-Tools gelangen konnte ist unbekannt. Symantec spekuliert, dass Buckeye die Software aus Spuren, die ein Angriff hinterlassen habe, nachgebaut haben könnte. Sie könnten aber auch schlicht von einem schlecht gesicherten Server der Equation Group stammen oder bei einem Angriff abhanden gekommen sein.

Die Zuordnung von Hackerangriffen, insbesondere zu APTs, ist ein komplexes Unterfangen. Symantec geht aufgrund der Kombination von der Backdoor Doublepulsar mit für Buckeye typischer Schadsoftware wie Pirpi davon aus, dass es sich um die APT Buckeye handelt. Symantec habe seit der Enttarnung von Buckeye durch die USA 2017 keine Aktivität der Hackergruppe mehr festgestellt, allerdings sei die Schadsoftware der Equation Group weiter zum Einsatz gekommen. Symantec spekuliert, dass Buckeye die Tools an eine andere Gruppe weitergegeben haben oder mit neuer Software weiter aktiv sein könnte

Der Fall kann allerdings auch als weiterer Beleg für die Komplexität der Zuordnung von Angriffen gesehen werden: Verwenden die Angreifer gestohlene Tools von anderen APTs oder überwachen Hacker und übernehmen deren Programme und Angriffstechniken, erschwert dies die Zuordnung. Diese basiert meist auf Indizien wie den verwendeten Tools, den Timestamps in der Software, dem Vorgehen der Angreifer oder der Agenda des jeweiligen Landes.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Mobiles Betriebssystem
iOS 15 mit Focus, OCR und schickem Facetime

Apple hat iOS 15 für iPhones und den iPod Touch vorgestellt. Radikale Neuerungen sind nicht dabei, dafür aber einige interessante Funktionen.

Mobiles Betriebssystem: iOS 15 mit Focus, OCR und schickem Facetime
Artikel
  1. Windows 11: Geplante Obsoleszenz ist schlecht, Microsoft!
    Windows 11
    Geplante Obsoleszenz ist schlecht, Microsoft!

    Kunden ärgern sich darüber, dass ihre vier Jahre alten Prozessoren bereits kein Windows 11 mehr unterstützen. Zu Recht.
    Ein IMHO von Oliver Nickel

  2. Apple Watch: watchOS 8 mit Achtsamkeits-Funktion und Porträt-Zifferblatt
    Apple Watch
    watchOS 8 mit Achtsamkeits-Funktion und Porträt-Zifferblatt

    Apple hat für die Apple Watch mit watchOS 8 ein neues Betriebssystem vorgestellt, das neue Zugriffs-, Konnektivitäts- und Achtsamkeitsfunktionen auf die Smartwatch bringt.

  3. Diablo 2 Resurrected: Entwickler äußern sich zu Blizzard-Boykott
    Diablo 2 Resurrected
    Entwickler äußern sich zu Blizzard-Boykott

    Für viele Spieler wäre Diablo 2 Resurrected ein Pflichtkauf. Blizzard soll aber nicht unterstützt werden. Das sagen Entwickler zum Dilemma.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MM-Prospekt (u. a. Asus Gaming-Notebook 17" RTX 3050 1.099€) • PCGH-PC mit Ryzen 5 3600 & RTX 3060 999€ • Samsung 970 Evo Plus 1TB 99€ • Saturn Hits 2021 (u. a. Philips 55" OLED 120Hz 1.849€) • Corsair RGB 16GB Kit 3600MHz 87,90€ • Dualsense Schwarz + Deathloop 99,99€ [Werbung]
    •  /