• IT-Karriere:
  • Services:

Sicherheitslücke: Chinesische Hackergruppe nutzte Zero Day der NSA

Nicht nur The Shadow Brokers haben Exploits der NSA entwendet, auch eine chinesische Hackergruppe nutzte über Jahre eine Zero Day der NSA.

Artikel veröffentlicht am ,
Ein Windows-Bug oder eine Zero Day?
Ein Windows-Bug oder eine Zero Day? (Bild: OpenClipart-Vectors/Pixabay)

Ein bisher der chinesischen Hackergruppe APT31 zugeordnete Sicherheitslücke stammt laut einem Bericht der Sicherheitsfirma Checkpoint ursprünglich von der NSA. Demnach konnte APT31, die auch unter den Namen Zirconium und Judgment Panda bekannt ist, die Zero Day im Jahr 2014 von der NSA stehlen - lange vor dem berüchtigten Leak der Hackergruppe The Shadow Brokers, die gleich ein ganzes Arsenal an NSA-Tools entwenden konnte.

Stellenmarkt
  1. Sika Holding CH AG & Co KG, Stuttgart
  2. simple system GmbH & Co. KG, München

Die Zero Day wurde erst im Jahr 2017 von Microsoft gepatcht, nachdem das Incident Response Team von Lockheed Martin den Jian genannten Exploit von APT31 entdeckt und an den Windows-Hersteller gemeldet hatte. Die Sicherheitslücke (CVE-2017-2005) ermöglichte eine Ausweitung der Nutzerrechte unter Windows XP bis Windows 8. Die Sicherheitslücke konnte also erst ausgenutzt werden, wenn bereits auf anderem Wege Zugriff auf das entsprechende System bestand - dann diente sie dazu, an Administratorenrechte zu gelangen.

Doch bei Jian handelte es sich nicht wie bisher angenommen um das Werk von APT31, sondern um eine Entwicklung der NSA-Hackergruppe Equation Group. "Zu unserer Überraschung haben wir herausgefunden, dass dieser APT31-Exploit in Wirklichkeit eine rekonstruierte Version eines Exploits der Equation Group namens Epme ist", schreibt Checkpoint.

Über Jahre unentdeckte Zero Days der Equation Group

Demnach soll der Epme-Exploit bereits um 2013 von der NSA erstellt worden sein und eigentlich aus vier Exploits zur lokalen Rechteausweitung bestehen, von denen zwei bis 2017 Zero Days waren. Die eine wurde wie oben beschrieben entdeckt und gepatcht, die andere wurde im Mai 2017 von Microsoft ohne großes Aufsehen oder der Zuteilung einer CVE behoben.

Wahrscheinlich hatte die NSA Microsoft die Sicherheitslücke zugespielt, nachdem auch The Shadow Brokers Zugriff auf die Hackertools der Equation Group erlangen konnten. Auf den Zusammenhang zwischen Jian und Epme kam Checkpoint durch einen ausführlichen Vergleich von verschiedenen Exploits und Sicherheitslücken, deren Gemeinsamkeiten sie in einem Blogeintrag ausführlich vorstellt.

"Im Grunde ist unsere Forschung eine Demonstration, wie eine APT-Gruppe die Tools einer anderen APT-Gruppe für ihre eigenen Operationen nutzt, was es für Sicherheitsforscher schwieriger macht, eine genaue Zuordnung von Angriffen vorzunehmen, und zeigt, wie komplex die Realität hinter diesen Angriffen wirklich ist und wie wenig wir wissen", sagt Itay Cohen, Sicherheitsforscher bei Checkpoint. Letztlich bleibt die Attribution ein Indizien-Prozess, der durch die aktuellen Funde nicht einfach wird.

Unfreiwillig geteilte Sicherheitslücken und Hintertüren

Es ist nicht das erste Mal, dass sich Geheimdienste gegenseitig Exploits entwenden. So soll die Hackergruppe APT3 den NSA-Exploit Eternalromance aus dem Netzwerkverkehr extrahiert und später selbst genutzt haben. Doch nicht nur Exploits, sondern auch Backdoors sind betroffen, wie eine NSA-Hintertür in Netzwerkgeräten von Juniper zeigt, die ebenfalls von China genutzt wurde - um die USA zu hacken.

Sicherheitsfachleute und Politiker kritisieren daher immer wieder das Horten von Zero Days. Diese seien eine Gefahr für alle Beteiligten und müssten daher umgehend an den Hersteller gemeldet und geschlossen werden. Gleiches gelte für Hintertüren. Die NSA hat den Warnungen in den letzten Jahren eine solide empirische Grundlage verschafft.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. 29,90€ + Versand oder kostenlose Marktabholung (Bestpreis!)
  2. (u. a. Anno 1800 für 26,99€, Railway Empire für 14,99€, Code Vein für 16,99€)
  3. 119,90€ (Bestpreis mit Amazon)

Smolo 23. Feb 2021 / Themenstart

Es ist noch viel schlimmer alle Firmen werden genötigt Backdoors einzubauen. Ich hab mir...

Kommentieren


Folgen Sie uns
       


Automatische Untertitel in Premiere Pro Beta - Tutorial

Wir zeigen, wie sich Untertitel per KI-Spracherkennung erzeugen lassen.

Automatische Untertitel in Premiere Pro Beta - Tutorial Video aufrufen
Microsoft Teams an Schulen: Läuft bei uns
Microsoft Teams an Schulen
Läuft bei uns

Viele Schulen setzen im Lockdown auf Microsoft Teams. Aber was ist wichtiger, reibungsloser Fernunterricht oder Datenschutz?
Von Meike Laaff und Jakob von Lindern

  1. Glasfaser Telekom will jede Schule in einem Jahr mit FTTH anbinden
  2. Nordrhein-Westfalen Bundesland gibt 2,6 Millionen Euro für Online-Lexikon aus
  3. Bildung Digitalpakt Schule "ist nach wie vor eine Katastrophe"

Wissen für ITler: 11 tolle Tech-Podcasts
Wissen für ITler
11 tolle Tech-Podcasts

Die Menge an Tech-Podcasts ist schier unüberschaubar. Wir haben ein paar Empfehlungen, die die Zeit wert sind.
Von Dennis Kogel


    Videokonferenzen: Bessere Webcams, bitte!
    Videokonferenzen
    Bessere Webcams, bitte!

    Warum sehen in Videokonferenzen immer alle schlecht aus? Die Webcam-Hersteller sind (oft) schuld.
    Ein IMHO von Martin Wolf

    1. Webcam im Eigenbau Mit wenigen Handgriffen wird die Pi HQ Cam zur USB-Kamera

      •  /