APT
Jian-Kampagne: Chinesische Hacker kopieren amerikanische Cyber-Waffe
Chinesen kopieren Cyber-Waffe
Die Sicherheitsforscher von Check Point haben bei der Verfolgung von APT-Gruppen herausgefunden, dass Chinesen eine Cyber-Waffe kopieren konnten, die vermutlich von der US-amerikanischen Ermittlungsbehörde NSA eingesetzt wurde.
Check Point Research, die Security-Forscher von Check Point® Software Technologies Ltd. (NASDAQ: CHKP), behalten die Advanced Persistent Threats (APT) durchgehend im Auge. Bei den Beobachtungen bemerkten die Experten, dass eine chinesische Hacker-Gruppe es geschafft hatte, eine US-amerikanische Cyber-Waffe zu kopieren, die in der Lage war, Zero-Day-Angriffe durchzuführen. Die neue Form der Bedrohung trägt den Namen Jian (Dschiann), benannt nach einem chinesischen Schwert mit doppelter Klinge .
Yaniv Balmas, Head of Cyber Research, Products – R&D bei Check Point, erklärt die Ergebnisse: „Im Rahmen eines laufenden Projekts überprüfen und analysieren unsere Malware- und Schwachstellenforscher ständig Zero-Day-Exploits zur Windows-Privilegienerweiterung, um Fingerabdrücke der Hacker zu sammeln und zu extrahieren. Diese Fingerabdrücke werden wiederum für die Zuordnung vergangener und zukünftiger Exploits verwendet und ermöglichen es uns, unbekannte Angriffe von bekannten Exploit-Entwicklern rechtzeitig zu erkennen und sogar zu blockieren. Während dieser speziellen Untersuchung gelang es unseren Forschern, die verborgene Geschichte hinter Jian, einem Zero-Day-Exploit, der zuvor APT31 zugeschrieben wurde, zu entschlüsseln. Sie konnten aufdecken, dass der wahre Ursprung ein Exploit ist, der von der Equation Group für dieselbe Schwachstelle erstellt wurde.“
Ursprünglich entwickelt wurde die Malware von der Equation Group, einer APT-Gruppe, bei der Experten davon ausgehen, dass sie eng mit der US-amerikanischen Ermittlungsbehörde NSA zusammenarbeitet. Zuerst aufgetaucht war die Malware 2017 unter dem Namen EpMe, entdeckt von dem Incident Response Team der US-amerikanischen Rüstungsfirma Lockheed Martin. EpMe war in der Lage, Zero-Day-Elevation-Privilege-Angriffe gegen Rechner mit Windows XP oder Windows 8 als Betriebssystemen durchzuführen.
Microsoft adressierte diesen Umstand mit dem Patch CVE-2017-0005 – damals ging man allerdings noch davon aus, dass der Ursprung von EpMe die chinesische Hacker-Gruppe APT31 sei. Die neuen Ergebnisse der Nachforschungen von Check Point Research zeigen allerdings, dass APT31 dabei lediglich die Waffe der Equation Group kopiert, und gegen die Vereinigten Staaten gerichtet hatte. Daher auch der Name Jian – das Schwert mit doppelter Klinge.
Jians Fähigkeiten
Ein typischer Angriff mit Jian umfasst drei Phasen:
- Initiale Kompromittierung eines Windows-Zielcomputers..
- Privilegienerweiterung auf die höchsten Privilegien.
- Vollständige Installation von Malware durch den Angreifer.