{"id":249925,"date":"2021-02-23T00:03:00","date_gmt":"2021-02-22T23:03:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=249925"},"modified":"2023-04-11T07:07:23","modified_gmt":"2023-04-11T05:07:23","slug":"jian-nsa-tool-von-chinas-hackern-kopiert-und-eingesetzt","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/02\/23\/jian-nsa-tool-von-chinas-hackern-kopiert-und-eingesetzt\/","title":{"rendered":"Jian: NSA-Tool von Chinas Hackern kopiert und eingesetzt"},"content":{"rendered":"

[English<\/a>]Sicherheitsforscher haben Hinweise gefunden, dass ein mutma\u00dflich von der amerikanischen NSA entwickeltes Hacker-Tool von chinesischen Hackern kopiert und unter dem Namen Jian lange vor der Ver\u00f6ffentlichung der NSA-Tools durch die Gruppe Shadow Browsers eingesetzt wurde.<\/p>\n

<\/p>\n

R\u00fcckblick auf das Shadow Brokers-Leck<\/h2>\n

Im Januar 2017 schrieb ich im Blog-Beitrag Tsch\u00fcssikowski: Shadow Brokers stellen NSA-Tools online<\/a>, dass die mysteri\u00f6se Hacker-Gruppe Shadow Brokers ihren Abschied angek\u00fcndigt habe. Und quasi als Abschiedsgeschenk stellte die Gruppe noch eine Sammlung von NSA-Tools online, nachdem deren Verkauf gescheitert war. Nur zur Erinnerung, wie die Zeit vergeht. Im Blog-Beitrag schrieb ich: Die Shadow Broker Exit-Meldung kommt 8 Tage vor der Vereidigung des neuen US-Pr\u00e4sidenten Donald Trump \u2013 ein Schelm, wer b\u00f6ses bei denkt.<\/em><\/p>\n

Aber das Ganze hatte eine Vorgeschichte. Die Hackergruppe Shadow Brokers zieht sich durch mehrere Blog-Beitr\u00e4ge (siehe Linkliste am Artikelende). Im August 2016 ging die Nachricht herum, dass eine Hacker-Gruppe mit dem Namen Shadow Brokers einen \"Korb mit NSA-Tools der NSA Equation Group\" erbeutet habe (siehe Blog-Beitrag Sicherheitsinfos (20. August 2016)<\/a>). Die Echtheit der Tools wurde bald als naheliegend best\u00e4tigt (siehe News zum ShadowBrokers-Hack<\/a>). Die Hacker versuchten diese Tools meistbietend im Darknet zu verkaufen, waren aber nicht erfolgreich.<\/p>\n

Aber Hacker, die (mutma\u00dflich) dem chinesischen Geheimdienst zugeordnet werden (oder nahe stehen), hatten bereits ein Jahr, bevor die Hacker-Gruppe Shadow Broker diverse Tools der NSA ver\u00f6ffentlichte, Zugriff auf diese Tools und haben diese in Angriffen verwendet. Das hatte ich im Mai 2019 im Blog-Beitrag Chinas Geheimdienst nutzte NSA-Tools vor Shadow Broker<\/a> unter Bezug auf einen Artikel der New York Time bereits thematisiert. So viel als Vorspann zu folgender Meldung.<\/p>\n

Check Point best\u00e4tigt die China-Theorie<\/h2>\n

Aktuell hat die amerikanisch-israelische Sicherheitsfirma Check Point eine Information an die Medien herumgeschickt, die den Bericht der New York Times quasi best\u00e4tigt.<\/p>\n

Sicherheitsforscher \u00fcberwachen APT-Gruppen<\/h3>\n

Die Sicherheitsforscher von Check Point\u00ae Software Technologies Ltd. behalten durchgehend Advanced Persisten Threats (APT) im Auge. Bei den Beobachtungen bemerkten die Experten, dass eine chinesische Hacker-Gruppe es geschafft hatte, eine US-amerikanische Cyber-Waffe zu kopieren, die in der Lage war, Zero-Day-Angriffe durchzuf\u00fchren. Die neue Form der Bedrohung tr\u00e4gt den Namen Jian (Dschiann)<\/em>, benannt nach einem chinesischen Schwert mit doppelter Klinge.<\/p>\n

\"Jian
\nJian Malware, Quelle: Check Point<\/p>\n

EpMe bereits 2017 entdeckt<\/h3>\n

Urspr\u00fcnglich entwickelt wurde die Malware von der Equation Group, einer APT-Gruppe, bei der Experten davon ausgehen, dass sie eng mit der US-amerikanischen Ermittlungsbeh\u00f6rde NSA zusammenarbeitet.<\/p>\n

Zuerst aufgetaucht war die Malware 2017 unter dem Namen EpMe<\/em>, entdeckt von dem Incident Response Team der US-amerikanischen R\u00fcstungsfirma Lockheed Martin. EpMe<\/em> war in der Lage, Zero-Day-Elevation-Privilege-Angriffe gegen Rechner mit Windows XP oder Windows 8 als Betriebssystemen durchzuf\u00fchren. Microsoft adressierte diesen Umstand mit dem Patch CVE-2017-0005<\/a> \u2013 damals ging man allerdings noch davon aus, dass der Ursprung von EpMe<\/em> die chinesische Hacker-Gruppe APT31 sei.<\/p>\n

Die neuen Ergebnisse der Nachforschungen von Check Point Research zeigen allerdings, dass APT31 dabei lediglich die Waffe der Equation Group kopiert, und gegen die Vereinigten Staaten gerichtet hatte. Daher auch der Name Jian<\/em> \u2013 das Schwert mit doppelter Klinge.<\/p>\n

Jians F\u00e4higkeiten<\/h2>\n

Yaniv Balmas, Head of Cyber Research, Products – R&D bei Check Point, erkl\u00e4rt dazu: \"Im Rahmen eines laufenden Projekts \u00fcberpr\u00fcfen und analysieren unsere Malware- und Schwachstellenforscher st\u00e4ndig Zero-Day-Exploits zur Windows-Privilegienerweiterung, um Fingerabdr\u00fccke der Hacker zu sammeln und zu extrahieren. Diese Fingerabdr\u00fccke werden wiederum f\u00fcr die Zuordnung vergangener und zuk\u00fcnftiger Exploits verwendet und erm\u00f6glichen es uns, unbekannte Angriffe von bekannten Exploit-Entwicklern rechtzeitig zu erkennen und sogar zu blockieren. W\u00e4hrend dieser speziellen Untersuchung gelang es unseren Forschern, die verborgene Geschichte hinter Jian<\/em>, einem Zero-Day-Exploit, der zuvor APT31 zugeschrieben wurde, zu entschl\u00fcsseln. Sie konnten aufdecken, dass der wahre Ursprung ein Exploit ist, der von der Equation Group f\u00fcr dieselbe Schwachstelle erstellt wurde.\" Ein typischer Angriff mit Jian<\/em> umfasst drei Phasen:<\/p>\n

    \n
  1. Initiale Kompromittierung eines Windows-Zielcomputers.<\/li>\n
  2. Privilegienerweiterung auf die h\u00f6chsten Privilegien.<\/li>\n
  3. Vollst\u00e4ndige Installation von Malware durch den Angreifer.<\/li>\n<\/ol>\n

    Die kompletten Forschungsergebnisse zur Cyber-Waffe finden sich im Check Point Blog-Beitrag Jian \u2013 The Chinese Double-edged Cyber Sword<\/a>. Es ist immer wieder interessant zu sehen, wie sich die Schlapph\u00fcte gegenseitig die Tools klauen und dann gegeneinander einsetzen. Dachten die Amis, dass sie ein ganz cooles NSA-Tool f\u00fcr ihre Operationen entwickelt h\u00e4tten, haben die Chinesen dieses schlicht geklaut und mal ausprobiert, wie gut das gegen das sicherste Windows-Betriebssystem aller Zeiten (O-Ton Microsoft zu Windows) eingesetzt. Das zeigt auch, welches zweischneidige Schwert die Forderung abgehalfterter Politiker nach Hintert\u00fcren in der Verschl\u00fcsselung diverser Produkte ist, auf die nur Staaten Zugriff haben.<\/p>\n

    \u00c4hnliche Artikel:<\/strong>
    \n    Tsch\u00fcssikowski: Shadow Brokers stellen NSA-Tools online<\/a>
    \n    News zum ShadowBrokers-Hack<\/a>
    \n    Shadow Broker: Kein Hack, sondern durch NSA-Insider geklaut<\/a>
    \n    Shadow Brokers Leak: NSA hat Banken \u00fcber SWIFT gehackt<\/a>
    \n    Neues vom NSA Shadow Broker-Hack<\/a>
    \n    Shadow Brokers: Geleakte NSA-Tools weitgehend unwirksam<\/a>
    \n    Shadow Brokers starten Zero-Day-Abo f\u00fcr 21.000 US $<\/a>
    \n    Microsofts Shadow Brokers-Analyse<\/a>
    \n    Shadow Brokers senden Juni Exploit Pack an Abonnenten<\/a>
    \n    NSA meldete Sicherheitsl\u00fccke wegen Shadow Brokers an Microsoft<\/a>
    \n    Chinas Geheimdienst nutzte NSA-Tools vor Shadow Broker<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

    [English]Sicherheitsforscher haben Hinweise gefunden, dass ein mutma\u00dflich von der amerikanischen NSA entwickeltes Hacker-Tool von chinesischen Hackern kopiert und unter dem Namen Jian lange vor der Ver\u00f6ffentlichung der NSA-Tools durch die Gruppe Shadow Browsers eingesetzt wurde.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-249925","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/249925","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=249925"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/249925\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=249925"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=249925"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=249925"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}