l+f: Selbstbedienungsladen NSA

Offenbar hat eine chinesische Hacker-Gruppe Zero-Day-Exploits der NSA geklaut, lange bevor das die Shadow Broker getan haben.

In Pocket speichern vorlesen Druckansicht 49 Kommentare lesen

(Bild: Check Point Research)

Lesezeit: 3 Min.

Check Points Security-Team hat einen Zero-Day-Exploit analysiert, den Hacker 2017 bei einem Einbruch beim US-amerikanischen Rüstungskonzern Lockheed Martin einsetzten. Microsoft schrieb diesen Zero-Day-Exploit und den Einbruch damals einer chinesischen Hacker-Gruppe zu. Doch gemäß Check Points Analysen haben die Chinesen den Exploit gar nicht selbst entwickelt, sondern beim amerikanischen Geheimdienst NSA geklaut. Der hatte den anscheinend bereits seit 2013 im Einsatz.

Das ist nicht der einzige Fall, in dem der NSA hochgefährliche Cyberwaffen in Form von Zero-Day-Exploits abhandenkommen. 2016 veröffentlichten die vermutlich russischen Shadow Brokers einen ganzen Werkzeug-Kasten mit bis dato unbekannten NSA-Exploits. Darunter befand sich der berüchtigte EternalBlue-Exploit, mit dem später WannaCry und NotPetya Milliardenschäden anrichteten.

Es war auch nicht der zweite NSA-Fail mit Zero-Days. Denn vor den Shadow Brokers nutzte offenbar bereits eine chinesische Hacker-Gruppe einige der Eternal-Lücken bei ihren Einbrüchen. Die gängige Erklärung lautet, dass die Chinesen den Exploit live im Einsatz beobachteten und aus den mitgeschnittenen Netzwerkverkehr rekonstruierten.

Beim jetzt von Check Point dokumentierten Zero-Day-Fail hatten die chinesischen Hacker gemäß Checkpoint jedoch die eigentlichen NSA-Exploit-Dateien namens EpMe. Sie bauten daraus eine eigene Version namens Jian. Checkpoint belegt diese Vermutung mit offensichtlichen Ähnlichkeiten im Code wie dem Speicher-Layout und identischen Konstanten.

Interessant ist vor allem die von Check Point erstellte Timeline. Demnach datiert der NSA-Exploit EpMe auf das Jahr 2013. Der chinesische Clone Jian entstand irgendwann 2014. Er wurde über mehrere Jahre eingesetzt, bis ihn Lockheed Martin dann 2017 bei einem Einbruch im eigenen Netz entdeckte und an Microsoft weitergab. Der Windows-Hersteller schloss die Privilege-Escalation-Lücke dann im März 2017 als CVE-2017-0005. 2017 erfolgte übrigens auch die Veröffentlichung der NSA-Tools inklusive EpMe durch die Shadow Broker.

Letztlich konnten professionelle Angreifer also bereits mehrfach unbekannte Sicherheitslücken in Windows über mehrere Jahre ausnutzen, weil die NSA sie nicht an den Hersteller meldete. Auch gegen kritische US-amerikanische Ziele. Aber keine Sorge – deutschen Behörden, die Zero-Day-Lücken lieber ausnutzen, statt sie patchen zu lassen, würde so etwas natürlich niemals passieren. Oder?

Nachtrag: Alle Zuweisungen zu Gruppen und deren Herkunft beruhen auf der Attribution durch Sicherheitsforscher und sind naturgemäß mit einer gewissen Unsicherheit versehen. Details dazu erklärt der Artikel Auf Tätersuche: Herausforderungen bei der Analyse von Cyber-Angriffen.

Mehr Infos

lost+found

Die heise-Security-Rubrik für Kurzes und Skurriles aus der IT-Security.

Alle l+f Meldungen in der Übersicht

(ju)