l+f: Die freigiebige Zero-Day-Spender-Box
Der Geheimdienst von Usbekistan verbrannte offenbar durch Dummheit mindestens vier Zero-Day-Exploits.
Auch staatlich subventionierte Elite-Hacker kochen nur mit Wasser. Nach der NSA hat offenbar auch die Cyber-Operations-Abteilung des usbekischen Geheimdienstes teure Zero-Day-Lücken durch Schlamperei verloren. Demnach konnte der AV-Hersteller Kaspersky gleich eine ganze Reihe der gefährlichen, weil bis dato unbekannten Sicherheitslücken entschärfen, weil die Telemetriedaten der eigenen Software die Informationen frei Haus lieferte.
Wie der AV-Hersteller im Rahmen der VB-Konferenz dokumentierte, verwendete der usbekische Geheimdienst State Security Service (SSS) Kasperskys AV-Software auf Systemen, auf denen neue Spionage-Software entwickelt wurde. Und jedes Mal wenn die über eine verdächtige Datei stolperte, die sie nicht kannte, sandte sie diese zur Analyse nach Hause.
Die Kaspersky-Analysten wunderten sich zunächst über die regelmäßige Lieferung der Zero-Day-Spender-Boxen ("my zero-day Pez dispenser"). Denn Kaspersky sorgte zwar dafür, dass die ausgenutzten Sicherheitslücken geschlossen wurden. Doch jedes Mal kam kurze Zeit ein neuer Zero-Day zum Einsatz. "Die verbrannten die wie nichts; offenbar hatten sie tonnenweise Geld" wunderte sich Brian Bartholomew von Kasperskys Global Research and Analysis Team.
Nebenwirkungen der 0days
Wie Vice berichtet ordnete Kaspersky die SandCat getaufte Gruppe im Rahmen seiner weiteren Nachforschungen dem usbekischen Geheimdienst zu. Der kaufte die Zero-Day-Exploits bei internationalen Exploit-Brokern ein. Die und deren andere Kunden, für die die Zero-Days damit jetzt ebenfalls nutzlos sind, dürften über SSS und deren schlampigen Umgang mit der wertvollen Ware ziemlich verärgert sein.
Auf ähnliche Weise verlor übrigens bereits die NSA eines ihrer wertvollsten Angriffswerkzeuge. Mit Hilfe einer Schwachstelle der Windows Dateifreigaben namens EternalBlue kaperten sie über Jahre hinweg Server in Firmennetzen. Doch ein NSA-Mitarbeiter nahm eines Tages Arbeit mit nach Hause und entpackte die gefährlichen Tools auf seinem Privatrechner, auf dem Kaspersky-Antivirus lief. Der Rest ist Geschichte und führte unter anderem zu Sanktionen gegen Kasperksy in den USA.
lost+found
Die heise-Security-Rubrik für Kurzes und Skurriles aus der IT-Security.
(ju)