Chinesische Hacker verfügen über “Klon” eines NSA-Hacking-Tools

Internet in China (Bild: Karen Roach/Shutterstock)

Check Point findet Verbindungen zum Tool EpMe der Equation Group. Das EpMe-Tool wiederum ist durch den Leak der Shadow Brokers bekannt. Es nutzt eine seit 2017 bekannte und gepatchte Zero-Day-Lücke in Windows aus.

Forscher von Check Point Research haben eine Verbindung zwischen einem Hacking-Tool einer chinesischen Gruppe namens Zirconium und einem Hacking-Tool der zur National Security Agency (NSA) gehörenden Equation Group gefunden. Die Forscher gehen davon aus, dass es sich um einen Klon eines Windows-Exploits handelt, den die NSA zwischen 2014 und 2017 aktiv eingesetzt hat. Bisher war man davon ausgegangen, dass das Jian genannte chinesische Tool eine Eigenentwicklung von Zirconium ist.

Das fragliche Hacking-Tool der Equation Group hat den Forschern zufolge eine bewegte Vorgeschichte. 2017 wurde diese nämlich selbst das Opfer eines Hackerangriffs. Dessen Hintermänner, Shadow Brokers genannt, erbeuteten zahlreiche Werkzeuge des Geheimdiensts und machten diese zusammen mit Zero-Day-Lücken in weit verbreiteter Software wie Windows öffentlich.

Unter anderem war Microsoft gezwungen, die Zero-Day-Lücke mit der Kennung CVE-2017-0005 in Windows XP bis Windows 8 zu schließen. Sie erlaubte es Angreifern, die vollständige Kontrolle über ein System zu übernehmen.

Die chinesische Zirconium-Gruppe, auch als APT31 bekannt, verfügte jedoch schon vor dem Shadow-Brokers-Leak über einen Exploit für diese Schwachstelle. Sie soll ihre Jian-Schadsoftware schon ab 2014 eingesetzt haben. Und Jian wiederum soll laut Check Point ein Klon von EpMe sein, einem Tool, das im “Lost in Translation”-Leak der Shadow Brokers enthalten war.

“Beide Exploit-Versionen für ‘Jian’ von APT31 oder ‘EpMe’ der Equation Group sind für die Ausweitung der Rechte des Angreifers in der lokalen Windows-Umgebung gedacht”, erklärten die Forscher. “Das Tool wird verwendet, nachdem ein Angreifer den ersten Zugriff auf einen Zielcomputer erlangt hat – etwa über eine Zero-Click-Schwachstelle, eine Phishing-E-Mail oder eine andere Option, um dem Angreifer die höchsten verfügbaren Rechte zu geben, damit er auf dem bereits infizierten Computer ‘frei herumlaufen’ und tun kann, was er will.”

Unklar ist indes, wie die Zirconium-Gruppe Zugriff auf das EpMe-Tool der Equation Group erhielt. Sie vermuten, dass es den Hackern bei einem Angriff der NSA auf ein Ziel in China in die Hände fiel. Auch ein erfolgreicher Angriff der Zirconium-Gruppe auf die Equation Group sei ein mögliches Szenario.

Darüber hinaus machten die Forscher noch auf ein Details aufmerksam: die fragliche Windows-Schwachstelle, die von Jian und EpMe ausgenutzt wird, wurde vom US-Rüstungskonzern Lockheed Martin an Microsoft gemeldet. Das Unternehmen ist jedoch nicht dafür bekannt, nach Schwachstellen in Software zu suchen. Check Point hält es von daher für möglich, dass das Unternehmen selbst oder einer seiner Kunden ein Opfer der Zirconium-Gruppe war.