Kaspersky und die 0-Day Exploit-Lecks beim Geheimdienst

Noch eine kleine Meldung: Dem Sicherheitsunternehmen Kaspersky wurden vom Usbekischen Geheimdienst unfreiwillig 0-Day Exploits frei Haus geliefert, wodurch diese nun nutzlos sind. Deren Hacker haben offenbar Geld wie Heu und schluren bei der eigenen Sicherheit, so dass die Entdeckung gelang. Hier ein Überblick, was Sache ist.


Anzeige

Es ist schon einige Tage bekannt, dass Kaspersky ein unglaublicher Fang gelungen ist. Die haben eine Hacker-Operation aus Usbekistan aufgedeckt. Der folgende Tweet thematisiert das Ganze, was Vice hier berichtet.

Die Hackergruppe mit dem Code-Namen SandCat, die dem Geheimdienst aus Usbekistan zugeordnet wird, hat gleich mehrere Zero-Day-Exploits verbrannt.

Doof gelaufen, diese Hacker-Operation

Offenbar waren Mitglieder der SandCat-Gruppe damit befasst, einen Hack über 0-Day-Exploits zu entwickeln, um Computer und Geräte von Opfern zu infiltrieren. Solche 0-Day-Exploits ermöglichen Schwachstellen in Geräten und Software auszunutzen und lassen sich von spezialisierten Firmen kaufen. So weit so bekannt.


Anzeige

Beim Entwickeln eines Angriffs haben die Hacker dann wohl eine Virenschutzlösung von Kaspersky benutzt, um zu testen, ob die Schadsoftware durch den Virenschutz erkannt wird. Die Überlegung ist nicht ganz verkehrt, denn wenn der Virenscanner die Schadsoftware abfängt, ist sie wirkungslos. 

Allerdings scheinen die Sicherheitsmaßnahmen der Gruppe recht lax gewesen zu sein. So verwendeten sie den Namens einer militärischen Gruppe mit Verbindungen zum Geheimdienst (National Security Service, SSS), um eine in ihrer Angriffsinfrastruktur verwendeten Domäne zu registrieren. Zweiter Fehler: Auf den Rechnern, auf denen die Malware entwickelt wurde, war die Antivirensoftware von Kaspersky ohne weitere Sicherheitsmaßnahmen installiert.

Jedes Mal, wenn die Gruppe eine neue Version der Malware erstellte, bekam der Kasperky Virenscanner das mit. Und weil dem Scanner der Code nicht ganz koscher vorkam, übertrug er diesen zur weiteren Analyse durch Sicherheitsforscher zu den Servern von Kaspersky. Hinzu kam, dass einer der Entwickler noch einen Screenshot seines Bildschirms in eine Testdatei einbettete. Diese ging ebenfalls an Kaspersky zur Analyse.

Kaspersky konnte, sobald der 0-Day-Exploit vorlag, analysieren und dann dessen Signatur in seine Virendefinitionen aufnehmen, wodurch der Exploit wirkungslos wurde. Am Ende des Tages führten die Fehler der Gruppe dazu, dass Kaspersky insgesamt vier Zero-Day-Exploits entdeckte, die SandCat von Drittanbietern gekauft hatte. Ziel der Hacker war es, mit den Exploits die Computer der Opfer zu infiltrieren. Diese Exploits sind nun verbrannt.

Interesse Usbekistans an Hacks seit 2015 bekannt

Das Usbekistan Ambitionen in Richtung staatliches Hacken entwickelt, ist seit 2015 bekannt. Damals gelang es dem Hacker Phineas Fisher gelang, Hacking Team, eine italienische Firma, die Hacking-Tools an Regierungen und Strafverfolgungsbehörden verkauft, zu hacken. Damals veröffentlichte er Tausende von E-Mails, in denen die Korrespondenz des Unternehmens mit Kunden, einschließlich des Geheimdiensts von Usbekistan (SSS), offengelegt wurde. Laut den E-Mails, die die Jahre 2011-2015 abdecken, hat der Geheimdienst fast eine Million Dollar für Hacking Team -Tools ausgegeben. Allerdings blieben die Hacking-Aktivitäten des Geheimdiensts bis vor kurzem weitgehend unbemerkt.

Im Oktober 2018 stolperten die Forscher von Kaspersky über SandCat, nachdem sie im Nahen Osten auf dem Computer eines Opfers ein bereits bekanntes Stück Malware namens Chainshot entdeckt hatten. Chainshot wurde von zwei anderen nationalstaatlichen Bedrohungsakteuren im Nahen Ostenverwendet, die Sicherheitsforscher den VAE und Saudi-Arabien zuschreiben. Markwürdig war nur, dass die Malware in diesem Fall eine Infrastruktur verwendete, die nicht mit einem dieser Länder in Verbindung stand. Das deutet darauf hin, dass es sich um eine andere, bisher für Kaspersky ungekannte Gruppe, handelte. Die Gruppe wurde SandCat genannt. Die Gruppe nutzte seinerzeit auch einen Zero-Day-Exploit, um Chainshot zu installieren.

Wie Vice schreibt, ermöglichten die Fehler Kaspersky nicht nur, die Aktivitäten der usbekischen Spionagebehörde zu verfolgen. Sondern man erhielt auch Einblick in die Aktivitäten anderer nationalstaatlicher Gruppen in Saudi-Arabien und den Vereinigten Arabischen Emiraten, die einige der gleichen Exploits nutzten, die SandCat einsetzte.

Der Kaspersky Sicherheitsforscher Bartholomew, der die Ergebnisse auf einer Sicherheitskonferenz vorstellte, bezeichnet SandCat als "Zero-Day-Pez-Spender". PEZ sind die viereckigen Minz-Bonbons, die aus einem speziellen Spender kommen. Immer, wenn man ein Minz-Bonbon entnimmt, rutscht das nächste nach. Genau so ging es mit den 0-Day-Exploits. Kaum hatte Kaspersky einen dieser 0-Day-Exploits neutralisiert, schob SandCat den nächsten Exploit nach. Die haben binnen kurzer Zeit vier Exploits verbrant, müssen als viel Geld haben. Scheint die Leute in der SandCat-Gruppe nicht wirklich tangiert zu haben. Nur die staatlichen Hacker in anderen Geheimdiensten, namentlich Saudi-Arabien und die VAE dürften angepisst sein. Denn durch diese Aktion wurden deren Malware-Beispiele, die die gleichen Exploits nutzen, wirkungslos. Bei Interesse, heise hat noch einen deutschsprachigen Artikel zum Thema veröffentlicht.


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

3 Antworten zu Kaspersky und die 0-Day Exploit-Lecks beim Geheimdienst

  1. Micha sagt:

    Die Sicherheitssoftware macht ja im Prinzip nur das wofür sie entwickelt wurde. Scheinbar hat die heuristische Analyse richtig angeschlagen und die unbekannte Schadsoftware erkannt.

  2. RUTZ-AhA sagt:

    Soviel Dusseligkeit auf einem Haufen, wie beim usbekischen Geheimdienst, gibt es wohl nicht so oft.
    Aber der russische Geheimdienst hat sich vor kurzem auch nicht gerade mit Ruhm bekleckert.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.