Menü
Security

Symantec: NSA verlor Hacking-Werkzeuge nicht nur an Shadow Brokers

Mutmaßlich chinesische Hacker haben schon vor den Shadow Brokers NSA-Werkzeuge eingesetzt. Das zeigt die Gefahren der Hackingprivilegien für Geheimdienste.

vorlesen Drucken Kommentare lesen 58 Beiträge

(Bild: Gorodenkoff/shutterstock.com + Etereuti)

Mutmaßlich chinesischen Hackern in Staatsdiensten ist es offenbar gelungen, der NSA Hacking-Werkzeuge zu entwenden und diese gegen Ziele in Europa und Asien einzusetzen. Das jedenfalls behaupten Sicherheitsforscher des US-Softwareunternehmens Symantec und beschuldigen eine Gruppe namens "Buckeye" – die von anderen Forschern "APT3" oder "Gothic Panda" genannt wird. Zwar weist Symantec selbst dabei nicht nach China, die Verbindung der Gruppe ins Reich der Mitte haben aber andere Sicherheitsforscher aufgestellt.

Schon Monate bevor die Hackergruppe Shadow Brokers 2016 damit begonnen hat, NSA-Werkzeuge weiterzugeben, habe Buckeye einige davon eingesetzt, erklärt Symantec nun.

In ihren Ausführungen erinnern die Forscher von Symantec an die aufsehenerregenden Aktionen der Shadow Brokers vom Herbst 2016 bis zum Frühjahr 2017. Die Hackergruppe hatte Hacking-Tools der NSA zuerst versteigert und dann veröffentlicht. Angreifer hatten die Werkzeuge dann unter anderem für die verheerende Ransomware-Attacke WannaCry ausgenutzt und immensen Schaden angerichtet. Symantec-Forscher haben aber nun herausgefunden, dass das NSA-Werkzeug "Doublepulsar" schon vor dem Erscheinen der Shadow Brokers von Hackern eingesetzt wurde, die dem chinesischen Staat zugeschrieben werden.

Wie die Forscher ausführen, sei eine Variante von "Doublepulsar" schon im März 2016 eingesetzt worden. Gezielt hatten die Angreifer demnach am 31. März 2016 auf eine Institution in Hongkong und eine Bildungseinrichtung in Belgien. Eingesetzt worden sei ein Trojaner, der speziell für die Installation von "Doublepulsar" ausgelegt war und zwei Windows-Lücken ausnutzte. Eine deutlich verbesserte Version dieses Tools sei dann im September gegen eine Bildungseinrichtung in Hongkong eingesetzt worden. Die konnte demnach 32- und 64-Bit-Systeme erfolgreich angreifen. Es sei auch später weiter entwickelt worden – die jüngste bekannte Version sei am 23. März 2019 kompiliert worden.

Die im März 2016 eingesetzte und nun von Symantec analysierte Version von "Doublepulsar" scheint den Forschern zufolge neuer als jene der Shadow Brokers. Damit könnten nicht nur neuere Windows-Versionen angegriffen werden, sie mache auch mehr für die Verschleierung. Symantec hält es für möglich, dass diese Upgrades von den originalen Autoren "Doublepulsars" stammen – das wäre dann die NSA. Für bemerkenswert hält Symantec auch, dass Buckeye "Doublepulsar" nie in Verbindung mit einem weiteren Tool namens "FuzzBunch" eingesetzt hat, das von den Shadow Brokers geleakt wurde. Offenbar hätten die Chinesen das nicht erbeutet.

Wie die mutmaßlich chinesischen Hacker in den Besitz einiger NSA-Werkzeuge gekommen sind, lange bevor die von den Shadow Brokers offengelegt wurden, kann man auch bei Symantec nur mutmaßen. Anhand der Analysen sei es möglich, dass Buckeye die Tools auf Basis von Artefakten in Internetverkehr selbst entwickelt habe. Dazu hätten sie einen NSA-Angriff beobachten müssen. Weniger wahrscheinlich sei, dass die Chinesen einen nicht ausreichend geschützten Server der Equation Group der NSA gefunden und ausgeräumt hätten. Möglich sei auch ein Leak von der NSA an die chinesischen Hacker.

Wenn es Hackern in chinesischen Diensten tatsächlich gelungen sein sollte, NSA-Werkzeuge abzugreifen und selbst gegen Ziele einzusetzen, würde das sehr deutlich machen, welche Gefahr von staatlichen Hackern auch in westlichen Demokratien ausgeht. Immer wieder warnen Gegner ausufernder Geheimdienstbefugnisse davor, wie gefährlich es ist, wenn Agenten Kenntnisse über Sicherheitslücken für sich behalten dürfen oder sogar sollen. Werden die nicht gestopft, damit die Agenten bei ihrer Arbeit darauf zurückgreifen können, bleiben alle Nutzer der Software gefährdet. Wenn die National Security Agency solche Cyberwaffen sogar mehrmals verloren hat, gibt das den Argumenten der Kritiker noch mehr Gewicht.

Lesen Sie zur Suche nach Tätern im Cyberspace auch bei c't:

[Update 07.05.2019 – 12:55 Uhr] Symantec selbst stellt in seinen Ausführungen keine Verbindung zwischen Buckeye und China her. Das wurde deutlich nachgetragen. (mho)