Innovatie & Strategie

Security
NSA

NSA-exploit jarenlang door China gebruikt

Analyse van Chinese hackaanval leidt naar 0-day en hacktool van de NSA.

© NSA
23 februari 2021

Analyse van Chinese hackaanval leidt naar 0-day en hacktool van de NSA.

Een Chinese hackgroepering heeft voor aanvallen op Windows-systemen gebruik gemaakt van een kwetsbaarheid die de NSA heeft ontdekt, en stilgehouden. Securitybedrijf Check Point meldt op basis van analyse dat een hacktool van de 'NSA-afdeling' Equation Group deels is gekopieerd door de Chinese aanvalsgroep APT31. De 0-day en exploittool daarvoor blijken al jaren te zijn ingezet door China voordat ze zijn onthuld in een NSA-datalek.

De Jian-tool van de Chinese hackgroep APT31 is volgens Check Point gemaakt door een ontwikkelaar die toegang had tot gecompileerde bestanden van de NSA-tool. De analyse door security-onderzoekers van het Israëlische bedrijf detailleert zelfs dat de Chinese malwaremaker zowel de 32-bit als ook de 64-bit uitvoering voorhanden had.

0-days 'oppotten'

Basis voor die tool is een voorheen onbekende, en dus ongepatchte kwetsbaarheid (een zogeheten 0-day) uit het digitale arsenaal van de NSA. Die Amerikaanse inlichtingendienst is omstreden vanwege het 'oppotten' van kwetsbaarheden in software. In plaats van het - al dan niet in het geheim - melden van beveiligingsproblemen bij IT-leveranciers zodat die het kunnen fixen, houdt de NSA in bepaalde gevallen zulke ontdekkingen voor zich. Dit om het dan offensief te kunnen gebruiken.

Check Point meldt nu dat de uit 2013 stammende NSA-exploittool EpMe ergens in 2014 is gerepliceerd door APT31 (ook wel bekend onder de naam Zirconium). Vervolgens is de resulterende Jian-tool sinds 2015 ingezet door Chinese aanvallers. Dit alles komt naar voren uit analyse van een exploit die begin 2017 door defensietoeleverancier Lockheed Martin is ontdekt en gemeld bij Microsoft. De daaronder liggende kwetsbaarheid (CVE-2017-0005) blijkt afkomstig van de NSA.

Zoeken in malware-databases

De link met de digitale wapenvoorraad van de Amerikaanse inlichtingendienst is naar voren gekomen door het reverse-engineeren van de Chinese code en het zoeken naar vergelijkend materiaal in de databases van Check Point. Daarbij leverde dit "extreem unieke" materiaal zoekresultaten op in malware-samples uit een datalek van de NSA. Concreet de vijfde infodump die hackergroep de Shadow Brokers in april 2017 wereldkundig heeft gemaakt.

Lees meer over Innovatie & Strategie OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.