Sicherheitslücke: Chinesische Hackergruppe nutzte Zero Day der NSA

Nicht nur The Shadow Brokers haben Exploits der NSA entwendet, auch eine chinesische Hackergruppe nutzte über Jahre eine Zero Day der NSA.

Artikel veröffentlicht am ,
Ein Windows-Bug oder eine Zero Day?
Ein Windows-Bug oder eine Zero Day? (Bild: OpenClipart-Vectors/Pixabay)

Ein bisher der chinesischen Hackergruppe APT31 zugeordnete Sicherheitslücke stammt laut einem Bericht der Sicherheitsfirma Checkpoint ursprünglich von der NSA. Demnach konnte APT31, die auch unter den Namen Zirconium und Judgment Panda bekannt ist, die Zero Day im Jahr 2014 von der NSA stehlen - lange vor dem berüchtigten Leak der Hackergruppe The Shadow Brokers, die gleich ein ganzes Arsenal an NSA-Tools entwenden konnte.

Stellenmarkt
  1. Head of Customer Segment Management (m/w/d)
    Fressnapf Holding SE, Krefeld
  2. IT Consultant Microsoft Office 365 Power Platform (w/m/d)
    e1 Business Solutions GmbH, Graz (Österreich)
Detailsuche

Die Zero Day wurde erst im Jahr 2017 von Microsoft gepatcht, nachdem das Incident Response Team von Lockheed Martin den Jian genannten Exploit von APT31 entdeckt und an den Windows-Hersteller gemeldet hatte. Die Sicherheitslücke (CVE-2017-2005) ermöglichte eine Ausweitung der Nutzerrechte unter Windows XP bis Windows 8. Die Sicherheitslücke konnte also erst ausgenutzt werden, wenn bereits auf anderem Wege Zugriff auf das entsprechende System bestand - dann diente sie dazu, an Administratorenrechte zu gelangen.

Doch bei Jian handelte es sich nicht wie bisher angenommen um das Werk von APT31, sondern um eine Entwicklung der NSA-Hackergruppe Equation Group. "Zu unserer Überraschung haben wir herausgefunden, dass dieser APT31-Exploit in Wirklichkeit eine rekonstruierte Version eines Exploits der Equation Group namens Epme ist", schreibt Checkpoint.

Über Jahre unentdeckte Zero Days der Equation Group

Demnach soll der Epme-Exploit bereits um 2013 von der NSA erstellt worden sein und eigentlich aus vier Exploits zur lokalen Rechteausweitung bestehen, von denen zwei bis 2017 Zero Days waren. Die eine wurde wie oben beschrieben entdeckt und gepatcht, die andere wurde im Mai 2017 von Microsoft ohne großes Aufsehen oder der Zuteilung einer CVE behoben.

Golem Akademie
  1. CEH Certified Ethical Hacker v11
    8.-12. November 2021, online
  2. Penetration Testing Fundamentals
    17.-18. Januar 2022, online
  3. Linux-Systeme absichern und härten
    8.-10. November 2021, online
Weitere IT-Trainings

Wahrscheinlich hatte die NSA Microsoft die Sicherheitslücke zugespielt, nachdem auch The Shadow Brokers Zugriff auf die Hackertools der Equation Group erlangen konnten. Auf den Zusammenhang zwischen Jian und Epme kam Checkpoint durch einen ausführlichen Vergleich von verschiedenen Exploits und Sicherheitslücken, deren Gemeinsamkeiten sie in einem Blogeintrag ausführlich vorstellt.

"Im Grunde ist unsere Forschung eine Demonstration, wie eine APT-Gruppe die Tools einer anderen APT-Gruppe für ihre eigenen Operationen nutzt, was es für Sicherheitsforscher schwieriger macht, eine genaue Zuordnung von Angriffen vorzunehmen, und zeigt, wie komplex die Realität hinter diesen Angriffen wirklich ist und wie wenig wir wissen", sagt Itay Cohen, Sicherheitsforscher bei Checkpoint. Letztlich bleibt die Attribution ein Indizien-Prozess, der durch die aktuellen Funde nicht einfach wird.

Unfreiwillig geteilte Sicherheitslücken und Hintertüren

Es ist nicht das erste Mal, dass sich Geheimdienste gegenseitig Exploits entwenden. So soll die Hackergruppe APT3 den NSA-Exploit Eternalromance aus dem Netzwerkverkehr extrahiert und später selbst genutzt haben. Doch nicht nur Exploits, sondern auch Backdoors sind betroffen, wie eine NSA-Hintertür in Netzwerkgeräten von Juniper zeigt, die ebenfalls von China genutzt wurde - um die USA zu hacken.

Sicherheitsfachleute und Politiker kritisieren daher immer wieder das Horten von Zero Days. Diese seien eine Gefahr für alle Beteiligten und müssten daher umgehend an den Hersteller gemeldet und geschlossen werden. Gleiches gelte für Hintertüren. Die NSA hat den Warnungen in den letzten Jahren eine solide empirische Grundlage verschafft.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
New World im Test
Amazon liefert ordentlich Abenteuer

Konkurrenz für World of Warcraft und Final Fantasy 14: Amazon Games macht mit dem PC-MMORPG New World momentan vor allem Sammler glücklich.
Von Peter Steinlechner

New World im Test: Amazon liefert ordentlich Abenteuer
Artikel
  1. Nasa: Sonde Lucy erfolgreich zu Jupiter-Asteroiden gestartet
    Nasa
    Sonde Lucy erfolgreich zu Jupiter-Asteroiden gestartet

    Erstmals sollen Asteroiden in der Umlaufbahn des Jupiter untersucht werden. Der Start der Raumsonde Lucy ist laut Nasa geglückt.

  2. Pornoplattform: Journalisten wollen Xhamster-Eigentümer gefunden haben
    Pornoplattform
    Journalisten wollen Xhamster-Eigentümer gefunden haben

    Xhamster ist und bleibt Heimat für zahlreiche rechtswidrige Inhalte. Doch ohne zu wissen, wer profitiert, wusste man bisher auch nicht, wer verantwortlich ist.

  3. Whatsapp: Vater bekommt wegen eines Nacktfotos Ärger mit Polizei
    Whatsapp
    Vater bekommt wegen eines Nacktfotos Ärger mit Polizei

    Ein Vater nutzte ein 15 Jahre altes Nacktfoto seines Sohnes als Statusfoto bei Whatsapp. Nun läuft ein Kinderpornografie-Verfahren.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Cyber Week: Bis zu 40€ Rabatt auf Samsung-SSDs • ADATA XPG Spectrix D55 16-GB-Kit 3200 56,61€ • Crucial P5 Plus 1 TB 129,99€ • Kingston NV1 500 GB 35,99€ • Creative Sound BlasterX G5 89,99€ • Alternate (u. a. AKRacing Core SX 248,99€) • Gamesplanet Anniv. Sale Classic & Retro [Werbung]
    •  /