![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Noch eine kleine Information nachgereicht. Laut einem Beitrag der New York Times hatten Hacker, die (mutma\u00dflich) dem chinesischen Geheimdienst zugeordnet werden (oder nahe stehen), bereits ein Jahr, bevor die Hacker-Gruppe Shadow Broker diverse Tools der NSA ver\u00f6ffentlichte, Zugriff auf diese Tools und haben diese in Angriffen verwendet.<\/p>\n
<\/p>\n
Der US-Geheimdienst NSA hatte \u00fcber Jahre Sicherheitsl\u00fccken in Software gehortet und ein Arsenal an Tools aufgebaut, um diese Schwachstellen auszunutzen und Ger\u00e4te zu infiltrieren. Dann fiel ein Teil der Dokumente sowie die Tool-Sammlung in fremde H\u00e4nde \u2013 ein Insider hatte wohl das Material verbreitet.<\/p>\n
Die Hacker-Gruppe Shadow Brokers<\/a> hatte dann ab 2016 Dokumente und Tools, die sie von der NSA erbeutete, schrittweise ver\u00f6ffentlicht. Das Material wurde sp\u00e4ter auch in Online-Aktionen in Untergrundforen angeboten. Ein wenig hatte ich im Blog-Beitrag Sicherheitsinfos (20. August 2016)<\/a> \u00fcber den Fall berichtet. Insbesondere Hersteller von Netzwerkkomponenten stellen fest, dass sie \u00fcber viele Jahre angreifbar waren.<\/p>\n Die von der Gruppe Shadow Brokers ver\u00f6ffentlichten Exploits zwangen Hersteller wie Microsoft in 2017 dazu, Notfall-Patches f\u00fcr Schwachstellen herauszugeben. Sp\u00e4ter wurde es ruhig um die Shadow Brokers und es gab m.W. keine weiteren Ver\u00f6ffentlichungen mehr. Einige Hinweise finden sich in den Artikeln am Beitragsende.<\/p>\n \u00dcber einen Artikel der New York Times<\/a> bin ich bereits gestern auf einen interessanten Sachverhalt aufmerksam geworden. Laut Artikel der NYT besa\u00df die Hackergruppe Buckeye, die dem chinesischen Geheimdienst (Ministerium f\u00fcr Staatssicherheit) zugeordnet wird, bereits vor der Ver\u00f6ffentlichung durch die Shadow Brokers die Hackerwerkzeuge der National Security Agency (NSA). Die Vermutung geht dahin, das die Tools bei einem Angriff der NSA auf chinesische Einrichtungen schlicht erbeutet und dann f\u00fcr eigene Zwecke eingesetzt wurden. Laut der New York Times setzten die mutma\u00dflich chinesischen Hacker die Werkzeuge bereits 2016 ein, um amerikanische Verb\u00fcndete und Privatunternehmen in Europa und Asien anzugreifen. Die USA wurden \u00fcbrigens mit den Tools nicht angegriffen – es wird spekuliert, dass die Hacker nicht offen legen wollten, dass sie im Besitz bestimmter Tools waren.<\/p>\n Der Sachverhalt, dass bestimmte Tools bei Angriffen zum Einsatz kamen, wurde von den Sicherheitsexperten von Symantec in diesem Blog-Beitrag<\/a> offen gelegt. Laut Symantec verwendete eine Hackergruppe mit der Bezeichnung Buckeye (alias APT3 oder Gothic Panda), bereits vor der Ver\u00f6ffentlichung durch die Shadow Brokers einen 0-day Exploit f\u00fcr Windows.<\/p>\n Der Windows 0-day Exploit wurde laut den Symantec-Analysen von Buckeye zusammen mit Equation Group Tools w\u00e4hrend verschiedener Angriffe im Jahr 2016 ausgenutzt. Diese Werkzeuge waren auch nach dem scheinbarem Verschwinden der Buckeyes-Gruppe noch im Einsatz. Die Spekulation geht dahin, dass die Hackergruppe Buckeye die Tools weitergegeben habe.<\/p>\n Im Detail ergibt sich aus dem Symantec-Bericht folgendes Szenario: Ab M\u00e4rz 2016 begann die Gruppe Buckeye mit einer Variante von DoublePulsar zu arbeiten. Bei Backdoor.Doublepulsar handelt es sich um eine Hintert\u00fcr, die erst 2017 von der Hackergruppe Shadow Brokers \u00f6ffentlich bekannt gemacht wurde. Die von den Hackern der Buckeye-Gruppe verwendete Variante wich aber von der Shadow Brokers-Version ab. DoublePulsar wurde den Opfern mit einem benutzerdefinierten Exploit-Tool (Trojan.Bemstour), das speziell f\u00fcr die Installation von DoublePulsar entwickelt wurde, untergejubelt.<\/p>\n Das Exploit-Tool Bemstour nutzt zwei Windows-Schwachstellen aus, um die Remote-Ausf\u00fchrung von Kernelcode auf bestimmten Computern zu erreichen. Eine ist die von Symantec entdeckte Windows Zero-Day-Schwachstelle (CVE-2019-0703). Die zweite Windows-Schwachstelle (CVE-2017-0143) wurde im M\u00e4rz 2017 gepatcht, nachdem festgestellt wurde, dass sie von zwei NSA-Exploit-Tools – EternalRomance und EternalSynergy – verwendet wurde. Diese Informationen zu den Schwachstellen wurden urspr\u00fcnglich ebenfalls als Teil des Shadow Brokers-Leaks \u00f6ffentlich bekannt.<\/p>\n Die Episode ist laut dem Artikel der New York Times<\/a> der neueste Beweis daf\u00fcr, dass die Vereinigten Staaten die Kontrolle \u00fcber wichtige Teile ihres Cybersicherheitsarsenals verloren haben. Sehe ich auch so, mit der Sammlung von Schwachstellen und Entwicklung von Exploits durch die NSA wurde eine B\u00fcchse der Pandora gef\u00fcllt. Es war dann nur eine Frage der Zeit, bis jemand diese \u00f6ffnen w\u00fcrde. Bei Interesse lassen sich weitere Details zu Angriffen der Hacker, bei Symantec<\/a> nachlesen. Heise hat f\u00fcr Leser, die das Ganze lieber in Deutsch konsumieren, diesen Artikel<\/a> zum Thema ver\u00f6ffentlicht.<\/p>\n In der urspr\u00fcnglichen Fassung meines Artikels war die Lesart, dass Symantec eine Verbindung zwischen der Buckeye\/Equation Group und dem chinesischen Ministerium f\u00fcr Staatssicherheit herstellt. Das ist aber in dieser Formulierung unzutreffend, da Symantec zwar die Verwendung der Tools durch die Hackergruppe namens Buckeye, alias APT3 oder Gothic Panda, beschreibt, aber die Verbindung zu China in seinem Beitrag nie erw\u00e4hnte.<\/p>\n Kurz nach Ver\u00f6ffentlichung des Beitrags erreichte mich der Hinweis einer im Auftrag Symantecs t\u00e4tigen Agentur, die bestimmte Sachverhalte als unzutreffend bezeichnete. Die Agentur wies darauf hin, dass Symantec keine direkte Verbindung zu speziellen L\u00e4ndern, Beh\u00f6rden oder Organisationen herstellt – und in der Tat gibt das der Blog-Beitrag von Symantec auch nicht her. Die Recherche von Symantec bezieht sich, laut eigener Aussage, ausschlie\u00dflich auf die Hackergruppen und deren Vorgehensweisen selbst.<\/p>\n Die Firma Symantec sieht darin einen wichtigen Unterschied, da die Beurteilung und Identifizierung mit absoluter Sicherheit (wer oder welche Organisation die Aktivit\u00e4ten von Shadow Brokers'\/Equation Group's\/Buckeye leitet oder finanziert), sehr komplex ist. Das Sicherheitsunternehmen konzentriert sich nach eigener Aussage in erster Linie auf die Analyse von Werkzeugen, Taktiken und Techniken von Angriffsgruppen, um seine Kunden auf der ganzen Welt entsprechend zu sch\u00fctzen. Ich habe in obigem Text die Stellen, die Buckeye explizit mit China in Verbindung bringen und sich dabei auf angebliche Aussagen auf Symantec beziehen, korrigiert.<\/p>\n Das \u00e4ndert aber nichts am Sachverhalt an sich.\u00a0Der Hinweis, dass die Hackergruppe Buckeye mutma\u00dflich 'staatsnahen Einrichtungen in China' zugeordnet wird, stammt von anderen Sicherheitsforschern (siehe auch diesen Artikel<\/a> von mitre.org) und findet sich so auch im Artikel der New York Times. Die NYT beruft sich, nach meiner Lesart, im Artikel auf ein von ihr gepr\u00fcftes Memo der NSA, das die chinesische Hackergruppe f\u00fcr zahlreiche Angriffe auf einige der sensibelsten Verteidigungsziele innerhalb der Vereinigten Staaten, darunter Hersteller von Weltraum-, Satelliten- und Nuklearantriebstechnik, verantwortlich macht. Auch Heise<\/a>, Golem<\/a> oder weitere Redaktionen haben diese Sichtweise auf den Ursprung der Hackergruppe Buckeye in ihren Artikeln zum Thema \u00fcbernommen. Ich bitte diese Ungenauigkeit zu entschuldigen und verweise nun auf den wei\u00dfen 'Elefanten im Raum<\/a>'.<\/p>\n \u00c4hnliche Artikel:<\/strong> Noch eine kleine Information nachgereicht. Laut einem Beitrag der New York Times hatten Hacker, die (mutma\u00dflich) dem chinesischen Geheimdienst zugeordnet werden (oder nahe stehen), bereits ein Jahr, bevor die Hacker-Gruppe Shadow Broker diverse Tools der NSA ver\u00f6ffentlichte, Zugriff auf diese … Weiterlesen NYT: Chinesische Hacker kannten die NSA-Tools bereits vorher<\/h2>\n
Symantec dokumentiert die Verwendung bestimmter Tools<\/h2>\n
Eine DoublePulsar-Variante kam\u00a0zum Einsatz<\/h2>\n
NYT: Die USA haben die Kontrolle verloren<\/h2>\n
Nachtrag: Der wei\u00dfe Elefant im Raum<\/h2>\n
\nTsch\u00fcssikowski: Shadow Brokers stellen NSA-Tools online<\/a>
\nNews zum ShadowBrokers-Hack<\/a>
\nShadow Broker: Kein Hack, sondern durch NSA-Insider geklaut<\/a>
\nShadow Brokers Leak: NSA hat Banken \u00fcber SWIFT gehackt<\/a>
\nNeues vom NSA Shadow Broker-Hack<\/a>
\nShadow Brokers: Geleakte NSA-Tools weitgehend unwirksam<\/a>
\nShadow Brokers starten Zero-Day-Abo f\u00fcr 21.000 US $<\/a>
\nMicrosofts Shadow Brokers-Analyse<\/a>
\nShadow Brokers senden Juni Exploit Pack an Abonnenten<\/a>
\nNSA meldete Sicherheitsl\u00fccke wegen Shadow Brokers an Microsoft<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"