ShadowBroker / Equation Group Hack

 

Keyfacts

  • entdeckt: 2016
  • sicher aktiv seit: 2013
  • letzte Aktualisierung: —
  • Verbreitung: —
  • Infektion und Replikation: —
  • Hauptziel: Manipulation von Firewall und Netzwerk-Technik weltweiter Unternehmen
  • Vermutliche Herkunft: unbekannt

Eine Gruppe namens ShadowBroker hat im August 2016 eine Datei veröffentlicht, die angeblich Hacking-Software aus dem Fundus der EquationGroup enthalten soll. Diese Hacking-Gruppe wurde 2015 entdeckt und mit langjährigen, sehr aufwendigen Spionage-Aktivitäten weltweit in Verbindung gebracht. Gemeinsame Codebestandteile mit Stuxnet sowie Flame deuteten auf die Tailored Access Operations (TAO)-Einheit der NSA als Ursprung der EquationGroup-Hacking-Aktivitäten hin. Laut einem Bericht der Nachrichtenagentur Reuters soll die Software durch ein Versehen auf einem ausgemusterten Rechner hinterlassen und dort durch russische Hacker aufgefunden worden sein. So lautet zumindestens die offizielle Theorie der FBI-Ermittler in der Sache, die weder von einem konkreten Datenabfluss in Folge eines Hacking-Angriffs noch von einem weiteren Whistleblower im Stile Edward Snowdens ausgehen. Einige Monate nach der ersten Veröffentlichung haben die Shadow Brokers ihr „Auktionsangebot“ aufgrund fehlender direkter Nachfrage in einen „Direktkauf“ umgewandelt. Ende Oktober 2016 wurde die Liste der Leaks um eine weitere Veröffentlichung ergänzt (Q: medium.com / lokale Kopie) , bei der Auflistungen von Servern und IT-Systemen veröffentlicht wurden, die von der „Equation Group“ infiltriert und mit Schadsoftware infiziert worden sein soll. Die Listen enthalten neben den Namen und IP Adressen auch Angaben über die Software-Versionen der Systeme sowie Zeitstempel. Eine einfache Liste der gehackten Systeme ist hier zu finden.

Nach der Veröffentlichung der Hacking-Software durch die ShadowBroker-Gruppe haben mehrere der weltweit großen Netzwerk- und IT-Sicherheitshersteller (darunter CISCO, FortiGate sowie Juniper) kritische Sicherheitslücken in ihrer Software behoben und in ihren Analysen der veröffentlichten Hacking-Werkzeuge gezielte Angriffe gegen ihre Produkte entdeckt. Die Schadsoftware gilt damit als authentisch. Unklar bleibt bislang Herkunft und Motivation der ShadowBroker-Gruppe.

Relevante Dokumente

Hinsichtlich der Authentizität der veröffentlichten Daten gehen ersten Analysen davon aus, dass sie tatsächlich echt sind und direkt aus der NSA-Quelle stammen (also bspw. nicht von einem, durch die NSA kompromittierten System extrahiert wurden):

Because of the sheer volume and quality, it is overwhelmingly likely this data is authentic. And it does not appear to be information taken from comprised systems. Instead the exploits, binaries with help strings, server configuration scripts, 5 separate versions of one implant framework, and all sort of other features indicate that this is analyst-side code­ — the kind that probably never leaves the NSA. (Q: Nicholas Weaver @lawfareblog.com / lokale Kopie)

Den genauen Umfang der Angriffstools, deren Qualität und die Identifikation möglicher Angriffsopfer werden die kommenden Wochen liefern. Dokumentierte Angriffe gegen HoneyPots (bspw. hier von Prof. Brendan Dolan-Gavitt an der NYU Tandon School of Enigneering / lokale Kopie) zeigen, dass die Hacking-Tools tatsächlich funktionieren. Interessant sind die möglichen Konsequenzen aus den Veröffentlichungen. Zum einen deutet bereits der Umstand des Hacks darauf hin, dass es neben der NSA offensichtlich Hacker gibt die fähig und willens sind in diese Organisation einzubrechen und Daten zu entwenden. Eine solche Gruppe steht vermutlich in staatlichem Auftrag. Sofern der Zeitpunkt der Hacks (2013) korrekt ist stellt sich die nächste Frage, warum die Daten gerade jetzt veröffentlicht wurde. Eine denkbare Option ist, dass dies als Machtdemonstration und Zeichen gegen eine andere Nation gerichtet ist.

Okay, so let’s think about the game theory here. Some group stole all of this data in 2013 and kept it secret for three years. Now they want the world to know it was stolen. Which governments might behave this way? The obvious list is short: China and Russia. Were I betting, I would bet Russia, and that it’s a signal to the Obama Administration: „Before you even think of sanctioning us for the DNC hack, know where we’ve been and what we can do to you.“ (Q: Bruce Schneier@schneier.com, lokale Kopie)

Eine weitere mögliche Konsequenz wäre, dass mit den veröffentlichten Hacking-Tools rückwirkend Angriffe untersucht werden und diese dem Konto der Equation Group zugewiesen werden könnten. Da ferner eine der typischen Taktiken der Gruppe darin bestand, sehr langfristig und verborgen in kompromittierten Systemen zu ruhen könnten im Nachgang auch weitere, bislang unentdeckte Hacks in hochrangigen Systemen entdeckt werden. Sofern die aktuellen Mutmaßungen zutreffen muss aus Sicht der NSA aktuell sogar davon ausgegangen werden, dass die Angreifer der ShadowBroker-Gruppe möglicherweise nach wie vor über den verdeckten Zugang zu NSA-Systemen und damit Informationen zu  laufenden Operationen und den entwickelten neueren Hacking-Tools verfügen. Nicht zuletzt bedeutet die aktuelle Veröffentlichung, dass damit hochentwickelte Angriffswerkzeuge – die mitnichten veraltet sind – aller Welt zur Verfügung gestellt wurden und damit möglicherweise weitere Systeme geknackt werden können.

Ein paar weitere Details und Wortmeldungen von ehemaligen TAO-Mitarbeitern finden sich hier bei der Washington Post (lokale Kopie) und bei TechTarget (lokale Kopie).

Die Analyse des IT-Security-Unternehmens „Risk based Security“ enthält sehr viele lesenwerte technische Details, Code-Namen und Hintergründe zu den ausgenutzten Sicherheitslücken der Hacking-Tools: The Shadow Brokers: Lifting the Shadows of the NSA’s Equation Group? (lokale Kopie)

Details zu den betroffenen Produkten und Herstellern

CISCO:

Laut heise.de (lokale Kopie) reagierte mit CISCO ein erster Hersteller auf die veröffentlichten Angriffswerkzeuge. Das Unternehmen veröffentlicht Sicherheitsaktualisierung für die Software ihrer Geräte (sog. Patches), bei der unter anderem eine als „hoch“ eingestufte Sicherheitslücke behoben wird:

Cisco stuft den Bedrohungsgrad der Zero-Day-Lücke mit Hoch ein. Sie findet sich im Simple Management Protocol (SNMP) der Adaptive Security Appliance (ASA) Software. Ein Angreifer könne die Lücke ohne Authentifizierung aus der Ferne ausnutzen, um eigenen Code auszuführen und im schlimmsten Fall ein komplettes System zu kapern. (Q:heise.de /lokale Kopie)

Damit können die veröffentlichten Angriffs-Werkzeuge als authentisch angesehen werden – auch wenn dies natürlich noch nicht die Herkunft bestätigt.

Sicherheitsforscher haben in dem veröffentlichten Datensatz ein Hacking-Werkzeug namens „BENIGNCERTAIN“ gefunden, mit dem sich offenbar verschlüsselten Verbindungen (sog. VPN-Tunnel) von bestimmten CISCO-Produkten aushebeln und abhören lassen. Das Hilfsmittel wurde erfolgreich durch die Sicherheitsexperten getestet und gilt als echt. VPN-Tunnel sind u.a. ein typisches Hilfsmittel für Mitarbeiter_Innen die aus der Ferne (bspw. einer Regierungszweigstelle) mit zentralen Diensten kommunizieren müssen und sich dafür über eine verschlüsselte Verbindung mit einem Netzwerk verbinden. (Q: musalbas.com / lokale Kopie). Laut Berichten auf techtarget.com (lokale Kopie) sollen einige Hacking-Tools in der Lage sein, die Verschlüsselung solcher VPN-Verbindung aktiv knacken zu können.

Im Kontext der Veröffentlichungen zur Equation-Group hat CISCO weitere Sicherheitsaktualisierungen herausgegeben,  mit denen unter anderem zwei als „besonders kritisch“ bewertete Lücken geschlossen werden. Wie bereits zuvor ist/war es mit Hilfe dieser Lücken möglich Vollzugriff über Firewall-Systeme des Unternehmens zu erhalten und damit genau jene Systeme frei steuern zu können, die eigentlich für den Schutz gedacht sind. (Q: heise.de, lokale Kopie). Weiteren Untersuchung zufolge sollen sich die Angriffswerkzeuge gegen CISCO-Geräte auch leicht auf aktuelle Modelle anpassen lassen:

We first started to work on the exploit mainly to see how easy it would be to add support for other (newer) versions. Turns out it is very easy, that implies two things:
* The leaked code is not as poor quality as some might suggest
* The lack of exploit mitigation techniques in the target Cisco software makes the life of attackers very easy
(Q: arstechnica.com / lokale Kopie)

FortiNET:

Offenbar patchte auch der Firewall-Hersteller FortiNET seine FortiGate-Produkte und schließt damit Sicherheitslücken die als kritisch bewertet werden und durch deren Ausnutzung Hacker Vollzugriff auf die Geräte bekommen können. FortiGate räumt keinen direkten Zusammenhang zu den NSA-Veröffentlichungen ein, dieser liegt lt. heise.de-Bericht und anderen Analysten aber sehr nahe. (Q: heise.de / lokale Kopie)

Juniper:

Mit der weltweit agierenden Firma Juniper hat ein weiteres Unternehmen aus dem Markt der Firewall- und Netzwerk-Sicherheit bekannt gegeben (lokale Kopie), dass die Veröffentlichungen der ShadowBroker gezielte Angriffe auf ihre Produkte enthält. Dabei sollen lt. Firmen-Angaben keine Schwächen in der Software attackiert werden, sondern der Angriff bezieht sich auf den Boot-Loader, also jenen Teil eines Gerätes, der beim Start der Hardware aktiv wird und als erstes – noch vor Betriebssystemen – ausgeführt wird. Angriffe auf diese Stufe sind oft sehr effektiv, da der Boot-Loader (und mit ihm eventueller Schadcode) noch vor den gängigen Schutz-Mechanismen geladen wird. Allerdings sind derartige Manipulation in aller Regel sehr viel schwerer zu bewerkstelligen, da damit Bereiche des Gerätes angegriffen werden müssen, die sich meist dem direkten Zugriff eines laufenden Betriebssystems entziehen. Allerdings wurden im Rahmen der Snowden-Enthüllungen auch Angriffe mit Hardware-Implantaten (die bspw. auf dem Postweg heimlich in Geräte eingebaut werden) sowie manipulierten Festplatten bekannt, die für solche Attacken genutzt werden könnten.

Share Button