Sicherheitslücke: Chinesische Hackergruppe nutzte Zero Day der NSA

Nicht nur The Shadow Brokers haben Exploits der NSA entwendet, auch eine chinesische Hackergruppe nutzte über Jahre eine Zero Day der NSA.

Artikel veröffentlicht am ,
Ein Windows-Bug oder eine Zero Day?
Ein Windows-Bug oder eine Zero Day? (Bild: OpenClipart-Vectors/Pixabay)

Ein bisher der chinesischen Hackergruppe APT31 zugeordnete Sicherheitslücke stammt laut einem Bericht der Sicherheitsfirma Checkpoint ursprünglich von der NSA. Demnach konnte APT31, die auch unter den Namen Zirconium und Judgment Panda bekannt ist, die Zero Day im Jahr 2014 von der NSA stehlen - lange vor dem berüchtigten Leak der Hackergruppe The Shadow Brokers, die gleich ein ganzes Arsenal an NSA-Tools entwenden konnte.

Stellenmarkt
  1. IT Service Operator / Systemadministrator / Anwendungsbetreuer Kernsysteme (m/w/d)
    WINGAS GmbH, Kassel
  2. IT-Administrator (m/w/d)
    TES Electronic Solutions GmbH, Leinfelden-Echterdingen
Detailsuche

Die Zero Day wurde erst im Jahr 2017 von Microsoft gepatcht, nachdem das Incident Response Team von Lockheed Martin den Jian genannten Exploit von APT31 entdeckt und an den Windows-Hersteller gemeldet hatte. Die Sicherheitslücke (CVE-2017-2005) ermöglichte eine Ausweitung der Nutzerrechte unter Windows XP bis Windows 8. Die Sicherheitslücke konnte also erst ausgenutzt werden, wenn bereits auf anderem Wege Zugriff auf das entsprechende System bestand - dann diente sie dazu, an Administratorenrechte zu gelangen.

Doch bei Jian handelte es sich nicht wie bisher angenommen um das Werk von APT31, sondern um eine Entwicklung der NSA-Hackergruppe Equation Group. "Zu unserer Überraschung haben wir herausgefunden, dass dieser APT31-Exploit in Wirklichkeit eine rekonstruierte Version eines Exploits der Equation Group namens Epme ist", schreibt Checkpoint.

Über Jahre unentdeckte Zero Days der Equation Group

Demnach soll der Epme-Exploit bereits um 2013 von der NSA erstellt worden sein und eigentlich aus vier Exploits zur lokalen Rechteausweitung bestehen, von denen zwei bis 2017 Zero Days waren. Die eine wurde wie oben beschrieben entdeckt und gepatcht, die andere wurde im Mai 2017 von Microsoft ohne großes Aufsehen oder der Zuteilung einer CVE behoben.

Golem Karrierewelt
  1. Airtable Grundlagen: virtueller Ein-Tages-Workshop
    31.08.2022, Virtuell
  2. Adobe Premiere Pro Grundkurs: virtueller Zwei-Tage-Workshop
    26./27.09.2022, Virtuell
Weitere IT-Trainings

Wahrscheinlich hatte die NSA Microsoft die Sicherheitslücke zugespielt, nachdem auch The Shadow Brokers Zugriff auf die Hackertools der Equation Group erlangen konnten. Auf den Zusammenhang zwischen Jian und Epme kam Checkpoint durch einen ausführlichen Vergleich von verschiedenen Exploits und Sicherheitslücken, deren Gemeinsamkeiten sie in einem Blogeintrag ausführlich vorstellt.

"Im Grunde ist unsere Forschung eine Demonstration, wie eine APT-Gruppe die Tools einer anderen APT-Gruppe für ihre eigenen Operationen nutzt, was es für Sicherheitsforscher schwieriger macht, eine genaue Zuordnung von Angriffen vorzunehmen, und zeigt, wie komplex die Realität hinter diesen Angriffen wirklich ist und wie wenig wir wissen", sagt Itay Cohen, Sicherheitsforscher bei Checkpoint. Letztlich bleibt die Attribution ein Indizien-Prozess, der durch die aktuellen Funde nicht einfach wird.

Unfreiwillig geteilte Sicherheitslücken und Hintertüren

Es ist nicht das erste Mal, dass sich Geheimdienste gegenseitig Exploits entwenden. So soll die Hackergruppe APT3 den NSA-Exploit Eternalromance aus dem Netzwerkverkehr extrahiert und später selbst genutzt haben. Doch nicht nur Exploits, sondern auch Backdoors sind betroffen, wie eine NSA-Hintertür in Netzwerkgeräten von Juniper zeigt, die ebenfalls von China genutzt wurde - um die USA zu hacken.

Sicherheitsfachleute und Politiker kritisieren daher immer wieder das Horten von Zero Days. Diese seien eine Gefahr für alle Beteiligten und müssten daher umgehend an den Hersteller gemeldet und geschlossen werden. Gleiches gelte für Hintertüren. Die NSA hat den Warnungen in den letzten Jahren eine solide empirische Grundlage verschafft.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
25 Jahre Dungeon Keeper
Wir sind wieder richtig böse!

Nicht Held, sondern Monster: Darum geht's in Dungeon Keeper von Peter Molyneux. Golem.de hat neu gespielt - und einen bösen Bug gefunden.
Von Andreas Altenheimer

25 Jahre Dungeon Keeper: Wir sind wieder richtig böse!
Artikel
  1. bZ4X: Toyota bietet Rückkauf seiner zurückgerufenen E-Autos an
    bZ4X
    Toyota bietet Rückkauf seiner zurückgerufenen E-Autos an

    Toyota bietet Kunden den Rückkauf seiner Elektro-SUVs an, nachdem diese im Juni wegen loser Radnabenschrauben zurückgerufen wurden.

  2. Laptops: Vom Bastel-Linux zum heimlichen Liebling der Entwickler
    Laptops
    Vom Bastel-Linux zum heimlichen Liebling der Entwickler

    Noch vor einem Jahrzehnt gab es kaum Laptops mit vorinstalliertem Linux. Inzwischen liefern das aber sogar die drei weltgrößten Hersteller - ein überraschender Siegeszug.

  3. SMS: Lindner bat Porsche-Chef um Argumentationshilfe bei E-Fuels
    SMS
    Lindner bat Porsche-Chef um Argumentationshilfe bei E-Fuels

    Der Bundesfinanzminister hat den Porsche-Chef erst nach der Entscheidung kontaktiert, die Ausnahme für E-Fuels in die EU-Verhandlungen einzubringen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MindStar (u. a. Samsung 980 1 TB 77€ und ASRock RX 6800 639€ ) • Alternate (u. a. Corsair Vengeance LPX 8 GB DDR4-3200 34,98€ ) • AOC GM200 6,29€ • be quiet! Deals • SSV bei Saturn (u. a. WD_BLACK SN850 1 TB 119€) • Weekend Sale bei Alternate • PDP Victrix Gambit 63,16€ [Werbung]
    •  /