Chinesische Hacker verfügen über “Klon” eines NSA-Hacking-Tools

Forscher von Check Point Research haben eine Verbindung zwischen einem Hacking-Tool einer chinesischen Gruppe namens Zirconium und einem Hacking-Tool der zur National Security Agency (NSA) gehörenden Equation Group gefunden. Die Forscher gehen davon aus, dass es sich um einen Klon eines Windows-Exploits handelt, den die NSA zwischen 2014 und 2017 aktiv eingesetzt hat. Bisher war man davon ausgegangen, dass das Jian genannte chinesische Tool eine Eigenentwicklung von Zirconium ist.

Das fragliche Hacking-Tool der Equation Group hat den Forschern zufolge eine bewegte Vorgeschichte. 2017 wurde diese nämlich selbst das Opfer eines Hackerangriffs. Dessen Hintermänner, Shadow Brokers genannt, erbeuteten zahlreiche Werkzeuge des Geheimdiensts und machten diese zusammen mit Zero-Day-Lücken in weit verbreiteter Software wie Windows öffentlich.

Unter anderem war Microsoft gezwungen, die Zero-Day-Lücke mit der Kennung CVE-2017-0005 in Windows XP bis Windows 8 zu schließen. Sie erlaubte es Angreifern, die vollständige Kontrolle über ein System zu übernehmen.

Die chinesische Zirconium-Gruppe, auch als APT31 bekannt, verfügte jedoch schon vor dem Shadow-Brokers-Leak über einen Exploit für diese Schwachstelle. Sie soll ihre Jian-Schadsoftware schon ab 2014 eingesetzt haben. Und Jian wiederum soll laut Check Point ein Klon von EpMe sein, einem Tool, das im “Lost in Translation”-Leak der Shadow Brokers enthalten war.

“Beide Exploit-Versionen für ‘Jian’ von APT31 oder ‘EpMe’ der Equation Group sind für die Ausweitung der Rechte des Angreifers in der lokalen Windows-Umgebung gedacht”, erklärten die Forscher. “Das Tool wird verwendet, nachdem ein Angreifer den ersten Zugriff auf einen Zielcomputer erlangt hat – etwa über eine Zero-Click-Schwachstelle, eine Phishing-E-Mail oder eine andere Option, um dem Angreifer die höchsten verfügbaren Rechte zu geben, damit er auf dem bereits infizierten Computer ‘frei herumlaufen’ und tun kann, was er will.”

Unklar ist indes, wie die Zirconium-Gruppe Zugriff auf das EpMe-Tool der Equation Group erhielt. Sie vermuten, dass es den Hackern bei einem Angriff der NSA auf ein Ziel in China in die Hände fiel. Auch ein erfolgreicher Angriff der Zirconium-Gruppe auf die Equation Group sei ein mögliches Szenario.

Darüber hinaus machten die Forscher noch auf ein Details aufmerksam: die fragliche Windows-Schwachstelle, die von Jian und EpMe ausgenutzt wird, wurde vom US-Rüstungskonzern Lockheed Martin an Microsoft gemeldet. Das Unternehmen ist jedoch nicht dafür bekannt, nach Schwachstellen in Software zu suchen. Check Point hält es von daher für möglich, dass das Unternehmen selbst oder einer seiner Kunden ein Opfer der Zirconium-Gruppe war.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die Redaktionen von Silicon.de und ZDNet.de. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

We siegt im Kampf um IT-Talente: Tech-Riesen oder kleinere IT-Unternehmen?

Freiraum und persönliche Arbeitsatmosphäre sind ausschlaggebend für Jobwechsel hin zu kleineren Unternehmen.

9 Stunden ago

Hybride Cloud-Lösungen: IT-Dienstleister wittern Morgenluft

Wachsende Automatisierungsmöglichkeiten und der Rückgriff auf Colocation-Provider geben Managed-Services- und Managed-Hosting-Anbietern neue Marktchancen.

11 Stunden ago

5G Campusnetz für TIP Innovationspark Nordheide

5G eröffnet Unternehmen und Forschungspartnern breites Spektrum verschiedener Anwendungen.

11 Stunden ago

Amazon kauft iRobot für 1,7 Milliarden Dollar

Der Hersteller von Saugrobotern verstärkt Amazons Smart-Home-Sparte. iRobot-CEO Cling Angle behält seinen Posten.

16 Stunden ago

Digital Employee Experience: So wird das „neue Normal“ nicht zur „neuen Qual“

Mitarbeitende haben hohe Erwartungen an hybrides Arbeiten. Welche Strategie für Zufriedenheit sorgt, erläutert Christoph Harvey,…

1 Tag ago

CISA und ASCS veröffentlichen die wichtigsten Malware-Varianten in 2021

Zu den wichtigsten Malware-Stämmen zählen Remote-Access-Trojaner (RATs), Banking-Trojaner, Info Stealer und Ransomware.

1 Tag ago