{"id":223340,"date":"2019-10-08T12:08:15","date_gmt":"2019-10-08T10:08:15","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=223340"},"modified":"2019-10-08T12:13:51","modified_gmt":"2019-10-08T10:13:51","slug":"kaspersky-und-die-0-day-exploit-lecks-beim-geheimdienst","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2019\/10\/08\/kaspersky-und-die-0-day-exploit-lecks-beim-geheimdienst\/","title":{"rendered":"Kaspersky und die 0-Day Exploit-Lecks beim Geheimdienst"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" align=\"left\" height=\"47\"\/>Noch eine kleine Meldung: Dem Sicherheitsunternehmen Kaspersky wurden vom Usbekischen Geheimdienst unfreiwillig 0-Day Exploits frei Haus geliefert, wodurch diese nun nutzlos sind. Deren Hacker haben offenbar Geld wie Heu und schluren bei der eigenen Sicherheit, so dass die Entdeckung gelang. Hier ein \u00dcberblick, was Sache ist. <\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" alt=\"\" src=\"https:\/\/vg01.met.vgwort.de\/na\/299ae43ffc574487981697835030f34e\" width=\"1\" height=\"1\"\/>Es ist schon einige Tage bekannt, dass Kaspersky ein unglaublicher Fang gelungen ist. Die haben eine Hacker-Operation aus Usbekistan aufgedeckt. Der folgende Tweet thematisiert das Ganze, was Vice <a href=\"https:\/\/www.vice.com\/en_us\/article\/3kx5y3\/uzbekistan-hacking-operations-uncovered-due-to-spectacularly-bad-opsec\" target=\"_blank\" rel=\"noopener noreferrer\">hier berichtet<\/a>. <\/p>\n<blockquote class=\"twitter-tweet\">\n<p lang=\"en\" dir=\"ltr\">Kaspersky's Researchers Say They Uncovered Uzbekistan Hacking Operations Due to Spectacularly Bad OPSEC: <a href=\"https:\/\/t.co\/xivpFE0z6i\">https:\/\/t.co\/xivpFE0z6i<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/zeroday?src=hash&amp;ref_src=twsrc%5Etfw\">#zeroday<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/threatintel?src=hash&amp;ref_src=twsrc%5Etfw\">#threatintel<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/cyberespionnage?src=hash&amp;ref_src=twsrc%5Etfw\">#cyberespionnage<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/sandcat?src=hash&amp;ref_src=twsrc%5Etfw\">#sandcat<\/a> <a href=\"https:\/\/t.co\/87WgvITUvQ\">pic.twitter.com\/87WgvITUvQ<\/a><\/p>\n<p>\u2014 ShramanACK (@ShramanACK) <a href=\"https:\/\/twitter.com\/ShramanACK\/status\/1179726831353843712?ref_src=twsrc%5Etfw\">October 3, 2019<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script> <\/p>\n<p>Die Hackergruppe mit dem Code-Namen SandCat, die dem Geheimdienst aus Usbekistan zugeordnet wird, hat gleich mehrere Zero-Day-Exploits verbrannt. <\/p>\n<h2>Doof gelaufen, diese Hacker-Operation <\/h2>\n<p>Offenbar waren Mitglieder der SandCat-Gruppe damit befasst, einen Hack \u00fcber 0-Day-Exploits zu entwickeln, um Computer und Ger\u00e4te von Opfern zu infiltrieren. Solche 0-Day-Exploits erm\u00f6glichen Schwachstellen in Ger\u00e4ten und Software auszunutzen und lassen sich von spezialisierten Firmen kaufen. So weit so bekannt. <\/p>\n<p>Beim Entwickeln eines Angriffs haben die Hacker dann wohl eine Virenschutzl\u00f6sung von Kaspersky benutzt, um zu testen, ob die Schadsoftware durch den Virenschutz erkannt wird. Die \u00dcberlegung ist nicht ganz verkehrt, denn wenn der Virenscanner die Schadsoftware abf\u00e4ngt, ist sie wirkungslos.&nbsp; <\/p>\n<p>Allerdings scheinen die Sicherheitsma\u00dfnahmen der Gruppe recht lax gewesen zu sein. So verwendeten sie den Namens einer milit\u00e4rischen Gruppe mit Verbindungen zum Geheimdienst (National Security Service, SSS), um eine in ihrer Angriffsinfrastruktur verwendeten Dom\u00e4ne zu registrieren. Zweiter Fehler: Auf den Rechnern, auf denen die Malware entwickelt wurde, war die Antivirensoftware von Kaspersky ohne weitere Sicherheitsma\u00dfnahmen installiert. <\/p>\n<p>Jedes Mal, wenn die Gruppe eine neue Version der Malware erstellte, bekam der Kasperky Virenscanner das mit. Und weil dem Scanner der Code nicht ganz koscher vorkam, \u00fcbertrug er diesen zur weiteren Analyse durch Sicherheitsforscher zu den Servern von Kaspersky. Hinzu kam, dass einer der Entwickler noch einen Screenshot seines Bildschirms in eine Testdatei einbettete. Diese ging ebenfalls an Kaspersky zur Analyse. <\/p>\n<p>Kaspersky konnte, sobald der 0-Day-Exploit vorlag, analysieren und dann dessen Signatur in seine Virendefinitionen aufnehmen, wodurch der Exploit wirkungslos wurde. Am Ende des Tages f\u00fchrten die Fehler der Gruppe dazu, dass Kaspersky insgesamt vier Zero-Day-Exploits entdeckte, die SandCat von Drittanbietern gekauft hatte. Ziel der Hacker war es, mit den Exploits die Computer der Opfer zu infiltrieren. Diese Exploits sind nun verbrannt. <\/p>\n<h2>Interesse Usbekistans an Hacks seit 2015 bekannt<\/h2>\n<p>Das Usbekistan Ambitionen in Richtung staatliches Hacken entwickelt, ist seit 2015 bekannt. Damals gelang es dem Hacker Phineas Fisher gelang, Hacking Team, eine italienische Firma, die Hacking-Tools an Regierungen und Strafverfolgungsbeh\u00f6rden verkauft, zu hacken. Damals ver\u00f6ffentlichte er Tausende von E-Mails, in denen die Korrespondenz des Unternehmens mit Kunden, einschlie\u00dflich des Geheimdiensts von Usbekistan (SSS), offengelegt wurde. Laut den E-Mails, die die Jahre 2011-2015 abdecken, hat der Geheimdienst fast eine Million Dollar f\u00fcr Hacking Team -Tools ausgegeben. Allerdings blieben die Hacking-Aktivit\u00e4ten des Geheimdiensts bis vor kurzem weitgehend unbemerkt.<\/p>\n<p>Im Oktober 2018 stolperten die Forscher von Kaspersky \u00fcber SandCat, nachdem sie im Nahen Osten auf dem Computer eines Opfers ein bereits bekanntes St\u00fcck Malware namens Chainshot entdeckt hatten. Chainshot wurde von zwei anderen nationalstaatlichen Bedrohungsakteuren im Nahen Ostenverwendet, die Sicherheitsforscher den VAE und Saudi-Arabien zuschreiben. Markw\u00fcrdig war nur, dass die Malware in diesem Fall eine Infrastruktur verwendete, die nicht mit einem dieser L\u00e4nder in Verbindung stand. Das deutet darauf hin, dass es sich um eine andere, bisher f\u00fcr Kaspersky ungekannte Gruppe, handelte. Die Gruppe wurde SandCat genannt. Die Gruppe nutzte seinerzeit auch einen Zero-Day-Exploit, um Chainshot zu installieren.<\/p>\n<p>Wie Vice schreibt, erm\u00f6glichten die Fehler Kaspersky nicht nur, die Aktivit\u00e4ten der usbekischen Spionagebeh\u00f6rde zu verfolgen. Sondern man erhielt auch Einblick in die Aktivit\u00e4ten anderer nationalstaatlicher Gruppen in Saudi-Arabien und den Vereinigten Arabischen Emiraten, die einige der gleichen Exploits nutzten, die SandCat einsetzte.<\/p>\n<p>Der Kaspersky Sicherheitsforscher Bartholomew, der die Ergebnisse auf einer Sicherheitskonferenz vorstellte, bezeichnet SandCat als \"Zero-Day-Pez-Spender\". PEZ sind die viereckigen Minz-Bonbons, die aus einem speziellen Spender kommen. Immer, wenn man ein Minz-Bonbon entnimmt, rutscht das n\u00e4chste nach. Genau so ging es mit den 0-Day-Exploits. Kaum hatte Kaspersky einen dieser 0-Day-Exploits neutralisiert, schob SandCat den n\u00e4chsten Exploit nach. Die haben binnen kurzer Zeit vier Exploits verbrant, m\u00fcssen als viel Geld haben. Scheint die Leute in der SandCat-Gruppe nicht wirklich tangiert zu haben. Nur die staatlichen Hacker in anderen Geheimdiensten, namentlich Saudi-Arabien und die VAE d\u00fcrften angepisst sein. Denn durch diese Aktion wurden deren Malware-Beispiele, die die gleichen Exploits nutzen, wirkungslos. Bei Interesse, heise hat noch <a href=\"https:\/\/www.heise.de\/security\/meldung\/l-f-Die-freigiebige-Zero-Day-Spender-Box-4545557.html\" target=\"_blank\" rel=\"noopener noreferrer\">einen deutschsprachigen Artikel<\/a> zum Thema ver\u00f6ffentlicht. <\/p>\n","protected":false},"excerpt":{"rendered":"<p>Noch eine kleine Meldung: Dem Sicherheitsunternehmen Kaspersky wurden vom Usbekischen Geheimdienst unfreiwillig 0-Day Exploits frei Haus geliefert, wodurch diese nun nutzlos sind. Deren Hacker haben offenbar Geld wie Heu und schluren bei der eigenen Sicherheit, so dass die Entdeckung gelang. &hellip; <a href=\"https:\/\/borncity.com\/blog\/2019\/10\/08\/kaspersky-und-die-0-day-exploit-lecks-beim-geheimdienst\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-223340","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/223340","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=223340"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/223340\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=223340"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=223340"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=223340"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}