Ein Blog-Post von Symantec in dieser Woche enthüllte, dass Chinas Spionagegruppe „Buckeye“ mindestens ein Jahr vor der Veröffentlichung der Shadow Brokers-Gruppe den „Double Pulsar“- und „Eternal Blue“-Exploit der NSA einsetzte. Symantec ist der Ansicht, dass Buckeye möglicherweise auch in der Lage gewesen sein könnte, die Tools der NSA während eines Angriffs der NSA zu untersuchen, woraufhin es möglich war, eine eigene Version dieser Tools zu entwickeln.
Laut Symantec hat Buckeye Informationen gestohlen, indem sie sich zu Telekommunikations-, F&E- und Bildungseinrichtungen aus Hongkong, Belgien, Luxemburg und einigen asiatischen Ländern Zugriff verschaffte. Buckeye verwendete eine Variante von DoublePulsar, die über ein spezielles Exploit-Tool namens „Bemstour“ ausgeliefert wurde, welches speziell für die Installation von DoublePulsar entwickelt wurde.
„Bemstour“ nutzt dabei zwei Windows-Schwachstellen aus, um die Remote-Ausführung von Kernel-Code auf dem Rechner des Opfers zu erreichen. Eine davon (CVE-2019-0703) ist eine Zero-Day-Schwachstelle, die von Symantec entdeckt wurde. Das Sicherheitsunternehmen meldete das Leck erst im September 2018 an Microsoft, die es im März 2019 patchten. Elf Tage, nachdem Microsoft die Schwachstelle behoben hatte, entdeckte Symantec allerdings noch eine weitere Variante von „Bemstour“ im Umlauf.
Die zweite Schwachstelle (CVE-2017-0143), die von Buckeye verwendet und von Microsoft im März 2017 gepatcht wurde, wurde auch von zwei speziellen NSA-Exploit-Tools verwendet, „EternalRomance“ und „EternalSynergy“, wie es im Shadow Brokers-Leak veröffentlicht wurde. Ein anderer Sicherheitsanbieter teilte Symantec zudem unter der Hand mit, dass die Buckeye Gruppe eine weitere Malware namens „Filensfer“ in Verbindung mit einer anderen bekannten, von Buckey erstellten Hintertür namens „Pirpi“ eingesetzt haben soll.
Verwendung von NSA-Tools durch das Hacken von Gruppen-Spreads
Laut Symantec wurde die Aktivität von Buckeye bereits Mitte 2017 eingestellt. Wenige Monate später, im November 2017, wurden dann drei mutmaßliche Mitglieder der Gruppe von der US-Regierung angeklagt. Obwohl die Aktivität der Gruppe beendet wurde, wurden die von ihr eingesetzten Tools noch mindestens ein weiteres Jahr lang, bis September 2018, von anderen Hackern in Verbindung mit weiterer Malware verwendet. Die Shadow Brokers-Gruppe hatte die NSA-Tools immerhin schon im April 2017 öffentlich gemacht. Doch seitdem haben mehrere Gruppen von Cyberkriminellen sie mit verheerender Wirksamkeit in ihre Hacking-Toolsets integriert. Symantec ist der Ansicht, dass Buckeye nie Zugang zu allen NSA-Exploit-Tools hatte – bevor die Shadow Brokers sie veröffentlichten.
Dass eine andere Spionage-/Hackergruppe Zugang zu den Hacker-Tools der NSA erhielt, indem sie einfach einen Live-Angriff der NSA nachverfolgte, ist ein weiteres Beispiel dafür, warum die Schaffung von Hintertüren für die vermeintlich „Guten“ (vorausgesetzt, man ist Willens die NSA als solche überhaupt dazuzuzählen) in der realen Welt so nie funktionieren wird, da alle Kategorien von Hackern schließlich dieselben Hintertüren (oder Hacker-Tools) in die Finger bekommen können.
Dank der Hybris der NSA, so sieht es auch Microsoft, haben nunmehr einige der gefährlichsten cyberkriminellen Gruppen der Welt jetzt Zugang zu hochwertigen und hoch entwickelten Hacking-Tools, mit denen Millionen von Menschen noch viele Jahre lang erheblichen Schaden erleiden können. Vielen Dank dafür.
Quelle: Symantec, Tom’s Hardware
Kommentieren