Jian: NSA-Tool von Chinas Hackern kopiert und eingesetzt

Publiziert am 23. Februar 2021 von Günter Born

[English]Sicherheitsforscher haben Hinweise gefunden, dass ein mutmaßlich von der amerikanischen NSA entwickeltes Hacker-Tool von chinesischen Hackern kopiert und unter dem Namen Jian lange vor der Veröffentlichung der NSA-Tools durch die Gruppe Shadow Browsers eingesetzt wurde.

Anzeige

Rückblick auf das Shadow Brokers-Leck

Im Januar 2017 schrieb ich im Blog-Beitrag Tschüssikowski: Shadow Brokers stellen NSA-Tools online, dass die mysteriöse Hacker-Gruppe Shadow Brokers ihren Abschied angekündigt habe. Und quasi als Abschiedsgeschenk stellte die Gruppe noch eine Sammlung von NSA-Tools online, nachdem deren Verkauf gescheitert war. Nur zur Erinnerung, wie die Zeit vergeht. Im Blog-Beitrag schrieb ich: Die Shadow Broker Exit-Meldung kommt 8 Tage vor der Vereidigung des neuen US-Präsidenten Donald Trump – ein Schelm, wer böses bei denkt.

Aber das Ganze hatte eine Vorgeschichte. Die Hackergruppe Shadow Brokers zieht sich durch mehrere Blog-Beiträge (siehe Linkliste am Artikelende). Im August 2016 ging die Nachricht herum, dass eine Hacker-Gruppe mit dem Namen Shadow Brokers einen "Korb mit NSA-Tools der NSA Equation Group" erbeutet habe (siehe Blog-Beitrag Sicherheitsinfos (20. August 2016)). Die Echtheit der Tools wurde bald als naheliegend bestätigt (siehe News zum ShadowBrokers-Hack). Die Hacker versuchten diese Tools meistbietend im Darknet zu verkaufen, waren aber nicht erfolgreich.

Aber Hacker, die (mutmaßlich) dem chinesischen Geheimdienst zugeordnet werden (oder nahe stehen), hatten bereits ein Jahr, bevor die Hacker-Gruppe Shadow Broker diverse Tools der NSA veröffentlichte, Zugriff auf diese Tools und haben diese in Angriffen verwendet. Das hatte ich im Mai 2019 im Blog-Beitrag Chinas Geheimdienst nutzte NSA-Tools vor Shadow Broker unter Bezug auf einen Artikel der New York Time bereits thematisiert. So viel als Vorspann zu folgender Meldung.

Check Point bestätigt die China-Theorie

Aktuell hat die amerikanisch-israelische Sicherheitsfirma Check Point eine Information an die Medien herumgeschickt, die den Bericht der New York Times quasi bestätigt.

Sicherheitsforscher überwachen APT-Gruppen

Die Sicherheitsforscher von Check Point® Software Technologies Ltd. behalten durchgehend Advanced Persisten Threats (APT) im Auge. Bei den Beobachtungen bemerkten die Experten, dass eine chinesische Hacker-Gruppe es geschafft hatte, eine US-amerikanische Cyber-Waffe zu kopieren, die in der Lage war, Zero-Day-Angriffe durchzuführen. Die neue Form der Bedrohung trägt den Namen Jian (Dschiann), benannt nach einem chinesischen Schwert mit doppelter Klinge.

Jian Malware
Jian Malware, Quelle: Check Point

EpMe bereits 2017 entdeckt

Ursprünglich entwickelt wurde die Malware von der Equation Group, einer APT-Gruppe, bei der Experten davon ausgehen, dass sie eng mit der US-amerikanischen Ermittlungsbehörde NSA zusammenarbeitet.

Zuerst aufgetaucht war die Malware 2017 unter dem Namen EpMe, entdeckt von dem Incident Response Team der US-amerikanischen Rüstungsfirma Lockheed Martin. EpMe war in der Lage, Zero-Day-Elevation-Privilege-Angriffe gegen Rechner mit Windows XP oder Windows 8 als Betriebssystemen durchzuführen. Microsoft adressierte diesen Umstand mit dem Patch CVE-2017-0005 – damals ging man allerdings noch davon aus, dass der Ursprung von EpMe die chinesische Hacker-Gruppe APT31 sei.

Anzeige

Die neuen Ergebnisse der Nachforschungen von Check Point Research zeigen allerdings, dass APT31 dabei lediglich die Waffe der Equation Group kopiert, und gegen die Vereinigten Staaten gerichtet hatte. Daher auch der Name Jian – das Schwert mit doppelter Klinge.

Jians Fähigkeiten

Yaniv Balmas, Head of Cyber Research, Products – R&D bei Check Point, erklärt dazu: "Im Rahmen eines laufenden Projekts überprüfen und analysieren unsere Malware- und Schwachstellenforscher ständig Zero-Day-Exploits zur Windows-Privilegienerweiterung, um Fingerabdrücke der Hacker zu sammeln und zu extrahieren. Diese Fingerabdrücke werden wiederum für die Zuordnung vergangener und zukünftiger Exploits verwendet und ermöglichen es uns, unbekannte Angriffe von bekannten Exploit-Entwicklern rechtzeitig zu erkennen und sogar zu blockieren. Während dieser speziellen Untersuchung gelang es unseren Forschern, die verborgene Geschichte hinter Jian, einem Zero-Day-Exploit, der zuvor APT31 zugeschrieben wurde, zu entschlüsseln. Sie konnten aufdecken, dass der wahre Ursprung ein Exploit ist, der von der Equation Group für dieselbe Schwachstelle erstellt wurde." Ein typischer Angriff mit Jian umfasst drei Phasen:

  1. Initiale Kompromittierung eines Windows-Zielcomputers.
  2. Privilegienerweiterung auf die höchsten Privilegien.
  3. Vollständige Installation von Malware durch den Angreifer.

Die kompletten Forschungsergebnisse zur Cyber-Waffe finden sich im Check Point Blog-Beitrag Jian – The Chinese Double-edged Cyber Sword. Es ist immer wieder interessant zu sehen, wie sich die Schlapphüte gegenseitig die Tools klauen und dann gegeneinander einsetzen. Dachten die Amis, dass sie ein ganz cooles NSA-Tool für ihre Operationen entwickelt hätten, haben die Chinesen dieses schlicht geklaut und mal ausprobiert, wie gut das gegen das sicherste Windows-Betriebssystem aller Zeiten (O-Ton Microsoft zu Windows) eingesetzt. Das zeigt auch, welches zweischneidige Schwert die Forderung abgehalfterter Politiker nach Hintertüren in der Verschlüsselung diverser Produkte ist, auf die nur Staaten Zugriff haben.

Ähnliche Artikel:
Tschüssikowski: Shadow Brokers stellen NSA-Tools online
News zum ShadowBrokers-Hack
Shadow Broker: Kein Hack, sondern durch NSA-Insider geklaut
Shadow Brokers Leak: NSA hat Banken über SWIFT gehackt
Neues vom NSA Shadow Broker-Hack
Shadow Brokers: Geleakte NSA-Tools weitgehend unwirksam
Shadow Brokers starten Zero-Day-Abo für 21.000 US $
Microsofts Shadow Brokers-Analyse
Shadow Brokers senden Juni Exploit Pack an Abonnenten
NSA meldete Sicherheitslücke wegen Shadow Brokers an Microsoft
Chinas Geheimdienst nutzte NSA-Tools vor Shadow Broker

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

3 Antworten zu Jian: NSA-Tool von Chinas Hackern kopiert und eingesetzt

  1. voko sagt:
    23. Februar 2021 um 07:19 Uhr

    Und damit beißt sich der Hund mal wieder in den eigenen Schwanz. :-)

    Antworten
  2. Humbug sagt:
    24. Februar 2021 um 01:52 Uhr

    Ich habe die letzte halbe Stunde damit verbracht, herauszufinden wie die "Initiale Kompromittierung eines Windows-Zielcomputers." passiert. Es gibt massive Informationen darüber, warum der schädliche Code ausgeführt wird und welche Schwachstelle er ausnutzt. Aber ich finde keine Info darüber, wie der Code auf das Zielsystem kommt und ausgeführt wird. Kann mir jemand da weiter helfen?

    Antworten
    • Günter Born sagt:
      24. Februar 2021 um 06:46 Uhr

      Es ist für die meisten Nutzer schlicht nicht relevant, ob die Infektion per Drive-by-Download in einem Watering-Hole, per Supply-Chain-Attack, per Mail oder über eine Netzwerkschwachstelle als Beispiel initiiert wird.

      Verabschiede dich von der Vorstellung: Mit brain.exe und nicht klicken, komme ich drum rum. Der einzige Grund, warum das bei Leuten funktioniert: Die sind nie gezielt auf dem Radar staatsnaher Hacker gewesen.

      Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.