Noch eine kleine Information nachgereicht. Laut einem Beitrag der New York Times hatten Hacker, die (mutmaßlich) dem chinesischen Geheimdienst zugeordnet werden (oder nahe stehen), bereits ein Jahr, bevor die Hacker-Gruppe Shadow Broker diverse Tools der NSA veröffentlichte, Zugriff auf diese Tools und haben diese in Angriffen verwendet.
Anzeige
Rückblick: Die Shadow Brokers-Leaks
Der US-Geheimdienst NSA hatte über Jahre Sicherheitslücken in Software gehortet und ein Arsenal an Tools aufgebaut, um diese Schwachstellen auszunutzen und Geräte zu infiltrieren. Dann fiel ein Teil der Dokumente sowie die Tool-Sammlung in fremde Hände – ein Insider hatte wohl das Material verbreitet.
Die Hacker-Gruppe Shadow Brokers hatte dann ab 2016 Dokumente und Tools, die sie von der NSA erbeutete, schrittweise veröffentlicht. Das Material wurde später auch in Online-Aktionen in Untergrundforen angeboten. Ein wenig hatte ich im Blog-Beitrag Sicherheitsinfos (20. August 2016) über den Fall berichtet. Insbesondere Hersteller von Netzwerkkomponenten stellen fest, dass sie über viele Jahre angreifbar waren.
Die von der Gruppe Shadow Brokers veröffentlichten Exploits zwangen Hersteller wie Microsoft in 2017 dazu, Notfall-Patches für Schwachstellen herauszugeben. Später wurde es ruhig um die Shadow Brokers und es gab m.W. keine weiteren Veröffentlichungen mehr. Einige Hinweise finden sich in den Artikeln am Beitragsende.
NYT: Chinesische Hacker kannten die NSA-Tools bereits vorher
Über einen Artikel der New York Times bin ich bereits gestern auf einen interessanten Sachverhalt aufmerksam geworden. Laut Artikel der NYT besaß die Hackergruppe Buckeye, die dem chinesischen Geheimdienst (Ministerium für Staatssicherheit) zugeordnet wird, bereits vor der Veröffentlichung durch die Shadow Brokers die Hackerwerkzeuge der National Security Agency (NSA). Die Vermutung geht dahin, das die Tools bei einem Angriff der NSA auf chinesische Einrichtungen schlicht erbeutet und dann für eigene Zwecke eingesetzt wurden. Laut der New York Times setzten die mutmaßlich chinesischen Hacker die Werkzeuge bereits 2016 ein, um amerikanische Verbündete und Privatunternehmen in Europa und Asien anzugreifen. Die USA wurden übrigens mit den Tools nicht angegriffen – es wird spekuliert, dass die Hacker nicht offen legen wollten, dass sie im Besitz bestimmter Tools waren.
Symantec dokumentiert die Verwendung bestimmter Tools
Der Sachverhalt, dass bestimmte Tools bei Angriffen zum Einsatz kamen, wurde von den Sicherheitsexperten von Symantec in diesem Blog-Beitrag offen gelegt. Laut Symantec verwendete eine Hackergruppe mit der Bezeichnung Buckeye (alias APT3 oder Gothic Panda), bereits vor der Veröffentlichung durch die Shadow Brokers einen 0-day Exploit für Windows.
Der Windows 0-day Exploit wurde laut den Symantec-Analysen von Buckeye zusammen mit Equation Group Tools während verschiedener Angriffe im Jahr 2016 ausgenutzt. Diese Werkzeuge waren auch nach dem scheinbarem Verschwinden der Buckeyes-Gruppe noch im Einsatz. Die Spekulation geht dahin, dass die Hackergruppe Buckeye die Tools weitergegeben habe.
Eine DoublePulsar-Variante kam zum Einsatz
Im Detail ergibt sich aus dem Symantec-Bericht folgendes Szenario: Ab März 2016 begann die Gruppe Buckeye mit einer Variante von DoublePulsar zu arbeiten. Bei Backdoor.Doublepulsar handelt es sich um eine Hintertür, die erst 2017 von der Hackergruppe Shadow Brokers öffentlich bekannt gemacht wurde. Die von den Hackern der Buckeye-Gruppe verwendete Variante wich aber von der Shadow Brokers-Version ab. DoublePulsar wurde den Opfern mit einem benutzerdefinierten Exploit-Tool (Trojan.Bemstour), das speziell für die Installation von DoublePulsar entwickelt wurde, untergejubelt.
Das Exploit-Tool Bemstour nutzt zwei Windows-Schwachstellen aus, um die Remote-Ausführung von Kernelcode auf bestimmten Computern zu erreichen. Eine ist die von Symantec entdeckte Windows Zero-Day-Schwachstelle (CVE-2019-0703). Die zweite Windows-Schwachstelle (CVE-2017-0143) wurde im März 2017 gepatcht, nachdem festgestellt wurde, dass sie von zwei NSA-Exploit-Tools – EternalRomance und EternalSynergy – verwendet wurde. Diese Informationen zu den Schwachstellen wurden ursprünglich ebenfalls als Teil des Shadow Brokers-Leaks öffentlich bekannt.
Anzeige
NYT: Die USA haben die Kontrolle verloren
Die Episode ist laut dem Artikel der New York Times der neueste Beweis dafür, dass die Vereinigten Staaten die Kontrolle über wichtige Teile ihres Cybersicherheitsarsenals verloren haben. Sehe ich auch so, mit der Sammlung von Schwachstellen und Entwicklung von Exploits durch die NSA wurde eine Büchse der Pandora gefüllt. Es war dann nur eine Frage der Zeit, bis jemand diese öffnen würde. Bei Interesse lassen sich weitere Details zu Angriffen der Hacker, bei Symantec nachlesen. Heise hat für Leser, die das Ganze lieber in Deutsch konsumieren, diesen Artikel zum Thema veröffentlicht.
Nachtrag: Der weiße Elefant im Raum
In der ursprünglichen Fassung meines Artikels war die Lesart, dass Symantec eine Verbindung zwischen der Buckeye/Equation Group und dem chinesischen Ministerium für Staatssicherheit herstellt. Das ist aber in dieser Formulierung unzutreffend, da Symantec zwar die Verwendung der Tools durch die Hackergruppe namens Buckeye, alias APT3 oder Gothic Panda, beschreibt, aber die Verbindung zu China in seinem Beitrag nie erwähnte.
Kurz nach Veröffentlichung des Beitrags erreichte mich der Hinweis einer im Auftrag Symantecs tätigen Agentur, die bestimmte Sachverhalte als unzutreffend bezeichnete. Die Agentur wies darauf hin, dass Symantec keine direkte Verbindung zu speziellen Ländern, Behörden oder Organisationen herstellt – und in der Tat gibt das der Blog-Beitrag von Symantec auch nicht her. Die Recherche von Symantec bezieht sich, laut eigener Aussage, ausschließlich auf die Hackergruppen und deren Vorgehensweisen selbst.
Die Firma Symantec sieht darin einen wichtigen Unterschied, da die Beurteilung und Identifizierung mit absoluter Sicherheit (wer oder welche Organisation die Aktivitäten von Shadow Brokers'/Equation Group's/Buckeye leitet oder finanziert), sehr komplex ist. Das Sicherheitsunternehmen konzentriert sich nach eigener Aussage in erster Linie auf die Analyse von Werkzeugen, Taktiken und Techniken von Angriffsgruppen, um seine Kunden auf der ganzen Welt entsprechend zu schützen. Ich habe in obigem Text die Stellen, die Buckeye explizit mit China in Verbindung bringen und sich dabei auf angebliche Aussagen auf Symantec beziehen, korrigiert.
Das ändert aber nichts am Sachverhalt an sich. Der Hinweis, dass die Hackergruppe Buckeye mutmaßlich 'staatsnahen Einrichtungen in China' zugeordnet wird, stammt von anderen Sicherheitsforschern (siehe auch diesen Artikel von mitre.org) und findet sich so auch im Artikel der New York Times. Die NYT beruft sich, nach meiner Lesart, im Artikel auf ein von ihr geprüftes Memo der NSA, das die chinesische Hackergruppe für zahlreiche Angriffe auf einige der sensibelsten Verteidigungsziele innerhalb der Vereinigten Staaten, darunter Hersteller von Weltraum-, Satelliten- und Nuklearantriebstechnik, verantwortlich macht. Auch Heise, Golem oder weitere Redaktionen haben diese Sichtweise auf den Ursprung der Hackergruppe Buckeye in ihren Artikeln zum Thema übernommen. Ich bitte diese Ungenauigkeit zu entschuldigen und verweise nun auf den weißen 'Elefanten im Raum'.
Ähnliche Artikel:
Tschüssikowski: Shadow Brokers stellen NSA-Tools online
News zum ShadowBrokers-Hack
Shadow Broker: Kein Hack, sondern durch NSA-Insider geklaut
Shadow Brokers Leak: NSA hat Banken über SWIFT gehackt
Neues vom NSA Shadow Broker-Hack
Shadow Brokers: Geleakte NSA-Tools weitgehend unwirksam
Shadow Brokers starten Zero-Day-Abo für 21.000 US $
Microsofts Shadow Brokers-Analyse
Shadow Brokers senden Juni Exploit Pack an Abonnenten
NSA meldete Sicherheitslücke wegen Shadow Brokers an Microsoft
2015
