Forscher von Check Point Research haben eine Verbindung zwischen einem Hacking-Tool einer chinesischen Gruppe namens Zirconium und einem Hacking-Tool der zur National Security Agency (NSA) gehörenden Equation Group gefunden. Die Forscher gehen davon aus, dass es sich um einen Klon eines Windows-Exploits handelt, den die NSA zwischen 2014 und 2017 aktiv eingesetzt hat. Bisher war man davon ausgegangen, dass das Jian genannte chinesische Tool eine Eigenentwicklung von Zirconium ist.
Das fragliche Hacking-Tool der Equation Group hat den Forschern zufolge eine bewegte Vorgeschichte. 2017 wurde diese nämlich selbst das Opfer eines Hackerangriffs. Dessen Hintermänner, Shadow Brokers genannt, erbeuteten zahlreiche Werkzeuge des Geheimdiensts und machten diese zusammen mit Zero-Day-Lücken in weit verbreiteter Software wie Windows öffentlich.
Unter anderem war Microsoft gezwungen, die Zero-Day-Lücke mit der Kennung CVE-2017-0005 in Windows XP bis Windows 8 zu schließen. Sie erlaubte es Angreifern, die vollständige Kontrolle über ein System zu übernehmen.
Die chinesische Zirconium-Gruppe, auch als APT31 bekannt, verfügte jedoch schon vor dem Shadow-Brokers-Leak über einen Exploit für diese Schwachstelle. Sie soll ihre Jian-Schadsoftware schon ab 2014 eingesetzt haben. Und Jian wiederum soll laut Check Point ein Klon von EpMe sein, einem Tool, das im “Lost in Translation”-Leak der Shadow Brokers enthalten war.
“Beide Exploit-Versionen für ‘Jian’ von APT31 oder ‘EpMe’ der Equation Group sind für die Ausweitung der Rechte des Angreifers in der lokalen Windows-Umgebung gedacht”, erklärten die Forscher. “Das Tool wird verwendet, nachdem ein Angreifer den ersten Zugriff auf einen Zielcomputer erlangt hat – etwa über eine Zero-Click-Schwachstelle, eine Phishing-E-Mail oder eine andere Option, um dem Angreifer die höchsten verfügbaren Rechte zu geben, damit er auf dem bereits infizierten Computer ‘frei herumlaufen’ und tun kann, was er will.”
Unklar ist indes, wie die Zirconium-Gruppe Zugriff auf das EpMe-Tool der Equation Group erhielt. Sie vermuten, dass es den Hackern bei einem Angriff der NSA auf ein Ziel in China in die Hände fiel. Auch ein erfolgreicher Angriff der Zirconium-Gruppe auf die Equation Group sei ein mögliches Szenario.
Darüber hinaus machten die Forscher noch auf ein Details aufmerksam: die fragliche Windows-Schwachstelle, die von Jian und EpMe ausgenutzt wird, wurde vom US-Rüstungskonzern Lockheed Martin an Microsoft gemeldet. Das Unternehmen ist jedoch nicht dafür bekannt, nach Schwachstellen in Software zu suchen. Check Point hält es von daher für möglich, dass das Unternehmen selbst oder einer seiner Kunden ein Opfer der Zirconium-Gruppe war.
Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…
Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…
DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).
Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.
IT-Infrastruktur-Trends 2025: Open-Source-Projekte sowie aufwändige regulatorische und Pflichtaufgaben werden das Jahr prägen.
IT-Systeme werden vor Ort in einem hochsicheren IT-Safe betrieben, ohne auf bauliche Maßnahmen wie die…