ShadowBroker / Equation Group Hack

 

Keyfacts

  • entdeckt: 2016
  • sicher aktiv seit: 2013
  • letzte Aktualisierung: 29.05.2017
  • Verbreitung: —
  • Infektion und Replikation: —
  • Hauptziel: Manipulation von Firewall und Netzwerk-Technik weltweiter Unternehmen, Microsoft Windows-Versionen
  • Vermutliche Herkunft: unbekannt, möglicherweise Insider-Leak

Eine Gruppe namens ShadowBroker hat im August 2016 eine Datei veröffentlicht, die angeblich Hacking-Software aus dem Fundus der EquationGroup enthalten soll. Diese Hacking-Gruppe wurde 2015 entdeckt und mit langjährigen, sehr aufwendigen Spionage-Aktivitäten weltweit in Verbindung gebracht. Gemeinsame Codebestandteile mit Stuxnet sowie Flame deuteten auf die Tailored Access Operations (TAO)-Einheit der NSA als Ursprung der EquationGroup-Hacking-Aktivitäten hin. Laut einem Bericht der Nachrichtenagentur Reuters soll die Software durch ein Versehen auf einem ausgemusterten Rechner hinterlassen und dort durch russische Hacker aufgefunden worden sein. So lautet zumindestens die offizielle Theorie der FBI-Ermittler in der Sache, die weder von einem konkreten Datenabfluss in Folge eines Hacking-Angriffs noch von einem weiteren Whistleblower im Stile Edward Snowdens ausgehen. Einige Monate nach der ersten Veröffentlichung haben die Shadow Brokers ihr „Auktionsangebot“ aufgrund fehlender direkter Nachfrage in einen „Direktkauf“ umgewandelt. Ende Oktober 2016 wurde die Liste der Leaks um eine weitere Veröffentlichung ergänzt (Q: medium.com / lokale Kopie) , bei der Auflistungen von Servern und IT-Systemen veröffentlicht wurden, die von der „Equation Group“ infiltriert und mit Schadsoftware infiziert worden sein soll. Die Listen enthalten neben den Namen und IP Adressen auch Angaben über die Software-Versionen der Systeme sowie Zeitstempel. Eine einfache Liste der gehackten Systeme ist hier zu finden.

Nach der Veröffentlichung der Hacking-Software durch die ShadowBroker-Gruppe haben mehrere der weltweit großen Netzwerk- und IT-Sicherheitshersteller (darunter CISCO, FortiGate sowie Juniper) kritische Sicherheitslücken in ihrer Software behoben und in ihren Analysen der veröffentlichten Hacking-Werkzeuge gezielte Angriffe gegen ihre Produkte entdeckt. Die Schadsoftware gilt damit als authentisch. Unklar bleibt bislang Herkunft und Motivation der ShadowBroker-Gruppe. Spekulationen zufolge deutet die Art und Weise des Umgangs mit den Leaks tatsächlich eher auf kriminelle, denn auf staatliche Hacker hin:

Whoever got this information years before and is leaking it now has to be both capable of hacking the NSA and willing to publish it all. Countries like Israel and France are capable, but would never publish, because they wouldn’t want to incur the wrath of the US. Country like North Korea or Iran probably aren’t capable. (..) As I’ve written previously, the obvious list of countries who fit my two criteria is small: Russia, China, and­ — I’m out of ideas. And China is currently trying to make nice with the US. (..) It was generally believed last August, when the first documents were released and before it became politically controversial to say so, that the Russians were behind the leak, and that it was a warning message to President Barack Obama not to retaliate for the Democratic National Committee hacks. Edward Snowden guessed Russia, too. But the problem with the Russia theory is, why? These leaked tools are much more valuable if kept secret. Russia could use the knowledge to detect NSA hacking in its own country and to attack other countries. By publishing the tools, the Shadow Brokers are signaling that they don’t care if the US knows the tools were stolen (Q: schneier.com / lokale Kopie)

Die Gruppe hat nach einem weiteren Angebot wenige Tage zuvor am 12.01.2017 ihre Auflösung bekannt gegeben. Entgegen dieser Ankündigung ist die Gruppe noch aktiv (siehe weiter unten).

Relevante Dokumente

Hinsichtlich der Authentizität der veröffentlichten Daten gehen ersten Analysen davon aus, dass sie tatsächlich echt sind und direkt aus der NSA-Quelle stammen (also bspw. nicht von einem, durch die NSA kompromittierten System extrahiert wurden):

Because of the sheer volume and quality, it is overwhelmingly likely this data is authentic. And it does not appear to be information taken from comprised systems. Instead the exploits, binaries with help strings, server configuration scripts, 5 separate versions of one implant framework, and all sort of other features indicate that this is analyst-side code­ — the kind that probably never leaves the NSA. (Q: Nicholas Weaver @lawfareblog.com / lokale Kopie)

Den genauen Umfang der Angriffstools, deren Qualität und die Identifikation möglicher Angriffsopfer werden die kommenden Wochen liefern. Dokumentierte Angriffe gegen HoneyPots (bspw. hier von Prof. Brendan Dolan-Gavitt an der NYU Tandon School of Enigneering / lokale Kopie) zeigen, dass die Hacking-Tools tatsächlich funktionieren. Interessant sind die möglichen Konsequenzen aus den Veröffentlichungen. Zum einen deutet bereits der Umstand des Hacks darauf hin, dass es neben der NSA offensichtlich Hacker gibt die fähig und willens sind in diese Organisation einzubrechen und Daten zu entwenden. Eine solche Gruppe steht vermutlich in staatlichem Auftrag. Sofern der Zeitpunkt der Hacks (2013) korrekt ist stellt sich die nächste Frage, warum die Daten gerade jetzt veröffentlicht wurde. Eine denkbare Option ist, dass dies als Machtdemonstration und Zeichen gegen eine andere Nation gerichtet ist.

Okay, so let’s think about the game theory here. Some group stole all of this data in 2013 and kept it secret for three years. Now they want the world to know it was stolen. Which governments might behave this way? The obvious list is short: China and Russia. Were I betting, I would bet Russia, and that it’s a signal to the Obama Administration: „Before you even think of sanctioning us for the DNC hack, know where we’ve been and what we can do to you.“ (Q: Bruce Schneier@schneier.com, lokale Kopie)

Eine weitere mögliche Konsequenz wäre, dass mit den veröffentlichten Hacking-Tools rückwirkend Angriffe untersucht werden und diese dem Konto der Equation Group zugewiesen werden könnten. Da ferner eine der typischen Taktiken der Gruppe darin bestand, sehr langfristig und verborgen in kompromittierten Systemen zu ruhen könnten im Nachgang auch weitere, bislang unentdeckte Hacks in hochrangigen Systemen entdeckt werden. Sofern die aktuellen Mutmaßungen zutreffen muss aus Sicht der NSA aktuell sogar davon ausgegangen werden, dass die Angreifer der ShadowBroker-Gruppe möglicherweise nach wie vor über den verdeckten Zugang zu NSA-Systemen und damit Informationen zu  laufenden Operationen und den entwickelten neueren Hacking-Tools verfügen. Nicht zuletzt bedeutet die aktuelle Veröffentlichung, dass damit hochentwickelte Angriffswerkzeuge – die mitnichten veraltet sind – aller Welt zur Verfügung gestellt wurden und damit möglicherweise weitere Systeme geknackt werden können.

Ein paar weitere Details und Wortmeldungen von ehemaligen TAO-Mitarbeitern finden sich hier bei der Washington Post (lokale Kopie) und bei TechTarget (lokale Kopie).

Die Analyse des IT-Security-Unternehmens „Risk based Security“ enthält sehr viele lesenwerte technische Details, Code-Namen und Hintergründe zu den ausgenutzten Sicherheitslücken der Hacking-Tools: The Shadow Brokers: Lifting the Shadows of the NSA’s Equation Group? (lokale Kopie)

Anfang Januar 2017 wurde ein weiteres Paket von Windows-Exploits für den Preis von 750 Bitcoins zum Verkauf angeboten. Darunter soll sich IT-Forensiker zufolge auch mindestens ein Zero-Day-Exploit befunden haben sowie ein Werkzeug zum Manipulieren von Windows-Systemlogdaten. Letzteres wird unter Experten als – sofern die Software echt ist – sehr hochentwickelt angesehen:

However, the listed plugin „EventLogEdit“ is significant for digital forensics and incident response (DFIR) professionals investigating APT cases.  While we understand that event logs can be cleared and event logging stopped, surgically editing event logs is usually considered to be a very advanced capability (if possible at all).  We’ve seen rootkit code over the years (some was published on the now defunct rootkit.com) that supported this feature, but often made the system unstable in the process. (Q: Jacob Williams auf malwarejake.blogspot.de)

Am 12.01.2017 hatte die Gruppe eigentlich ihre Auflösung bekannt gegeben, allerdings mit dem Hinweis, dass ein Angebot über weitere unzählige Windows- und Linux-Exploits nach wie vor gültig und über eine Zahlung an eine bestimmte Bitcoin-Adresse eingelöst werden könnte:

So long, farewell peoples. TheShadowBrokers is going dark, making exit. Continuing is being much risk and bullshit, not many bitcoins. TheShadowBrokers is deleting accounts and moving on so don’t be trying communications. Despite theories, it always being about bitcoins for TheShadowBrokers. Free dumps and bullshit political talk was being for marketing attention. There being no bitcoins in free dumps and giveaways. You are being disappointed? Nobody is being more disappointed than TheShadowBrokers. But TheShadowBrokers is leaving door open. (Q: bit.no.com / lokale Kopie)

Entgegen dieser Ankündigung erfolgte im April 2017 eine weitere Veröffentlichung, die NSA-Exploits enthielt mit dem Software internationaler Finanztransfer-Systeme angegriffen und/oder durchsucht werden konnten. Unter den Daten sind auch Suchroutinen für Datenbanken des internationalen Finanztransaktionssystems SWIFT enthalten. Der Text dieser Veröffentlichung enthält darüber hinaus einen Hinweis, dass die Gruppe weitere  Veröffentlichungen plant. Ende Mai 2017 kündigte die Gruppe an, von nun an regelmäßig monatlich für ca. 20.000 Euro / Monat (zu zahlen in einer Bitcoin-ähnlichen Kryptowährung namens ZCash) Exploits zu verkaufen (Q: steemit / lokale Kopie). Eine weitere Enthüllung folgte Anfang September 2017 mit der Veröffentlichung des Handbuch zu einem Hacking-Werkzeuges namens „UNITEDRAKE„, einer Software die als Plattform für die Datenaquise auf Windows-Computern (von XP bis Windows 8/Server 2012) dient.

Details zu den betroffenen Produkten und Herstellern

CISCO:

Laut heise.de (lokale Kopie) reagierte mit CISCO ein erster Hersteller auf die veröffentlichten Angriffswerkzeuge. Das Unternehmen veröffentlicht Sicherheitsaktualisierung für die Software ihrer Geräte (sog. Patches), bei der unter anderem eine als „hoch“ eingestufte Sicherheitslücke behoben wird:

Cisco stuft den Bedrohungsgrad der Zero-Day-Lücke mit Hoch ein. Sie findet sich im Simple Management Protocol (SNMP) der Adaptive Security Appliance (ASA) Software. Ein Angreifer könne die Lücke ohne Authentifizierung aus der Ferne ausnutzen, um eigenen Code auszuführen und im schlimmsten Fall ein komplettes System zu kapern. (Q:heise.de /lokale Kopie)

Damit können die veröffentlichten Angriffs-Werkzeuge als authentisch angesehen werden – auch wenn dies natürlich noch nicht die Herkunft bestätigt.

Sicherheitsforscher haben in dem veröffentlichten Datensatz ein Hacking-Werkzeug namens „BENIGNCERTAIN“ gefunden, mit dem sich offenbar verschlüsselten Verbindungen (sog. VPN-Tunnel) von bestimmten CISCO-Produkten aushebeln und abhören lassen. Das Hilfsmittel wurde erfolgreich durch die Sicherheitsexperten getestet und gilt als echt. VPN-Tunnel sind u.a. ein typisches Hilfsmittel für Mitarbeiter_Innen die aus der Ferne (bspw. einer Regierungszweigstelle) mit zentralen Diensten kommunizieren müssen und sich dafür über eine verschlüsselte Verbindung mit einem Netzwerk verbinden. (Q: musalbas.com / lokale Kopie). Laut Berichten auf techtarget.com (lokale Kopie) sollen einige Hacking-Tools in der Lage sein, die Verschlüsselung solcher VPN-Verbindung aktiv knacken zu können.

Im Kontext der Veröffentlichungen zur Equation-Group hat CISCO weitere Sicherheitsaktualisierungen herausgegeben,  mit denen unter anderem zwei als „besonders kritisch“ bewertete Lücken geschlossen werden. Wie bereits zuvor ist/war es mit Hilfe dieser Lücken möglich Vollzugriff über Firewall-Systeme des Unternehmens zu erhalten und damit genau jene Systeme frei steuern zu können, die eigentlich für den Schutz gedacht sind. (Q: heise.de, lokale Kopie). Weiteren Untersuchung zufolge sollen sich die Angriffswerkzeuge gegen CISCO-Geräte auch leicht auf aktuelle Modelle anpassen lassen:

We first started to work on the exploit mainly to see how easy it would be to add support for other (newer) versions. Turns out it is very easy, that implies two things:
* The leaked code is not as poor quality as some might suggest
* The lack of exploit mitigation techniques in the target Cisco software makes the life of attackers very easy
(Q: arstechnica.com / lokale Kopie)

FortiNET:

Offenbar patchte auch der Firewall-Hersteller FortiNET seine FortiGate-Produkte und schließt damit Sicherheitslücken die als kritisch bewertet werden und durch deren Ausnutzung Hacker Vollzugriff auf die Geräte bekommen können. FortiGate räumt keinen direkten Zusammenhang zu den NSA-Veröffentlichungen ein, dieser liegt lt. heise.de-Bericht und anderen Analysten aber sehr nahe. (Q: heise.de / lokale Kopie)

Juniper:

Mit der weltweit agierenden Firma Juniper hat ein weiteres Unternehmen aus dem Markt der Firewall- und Netzwerk-Sicherheit bekannt gegeben (lokale Kopie), dass die Veröffentlichungen der ShadowBroker gezielte Angriffe auf ihre Produkte enthält. Dabei sollen lt. Firmen-Angaben keine Schwächen in der Software attackiert werden, sondern der Angriff bezieht sich auf den Boot-Loader, also jenen Teil eines Gerätes, der beim Start der Hardware aktiv wird und als erstes – noch vor Betriebssystemen – ausgeführt wird. Angriffe auf diese Stufe sind oft sehr effektiv, da der Boot-Loader (und mit ihm eventueller Schadcode) noch vor den gängigen Schutz-Mechanismen geladen wird. Allerdings sind derartige Manipulation in aller Regel sehr viel schwerer zu bewerkstelligen, da damit Bereiche des Gerätes angegriffen werden müssen, die sich meist dem direkten Zugriff eines laufenden Betriebssystems entziehen. Allerdings wurden im Rahmen der Snowden-Enthüllungen auch Angriffe mit Hardware-Implantaten (die bspw. auf dem Postweg heimlich in Geräte eingebaut werden) sowie manipulierten Festplatten bekannt, die für solche Attacken genutzt werden könnten.

Microsoft:

Im Mai 2017 wurden durch die Ransomware WannaCry massive Schäden weltweit verursacht, oftmals in europäischen und nordamerikanischen Unternehmen. WannaCry verteilte sich nach einer Erstinfektion über infizierte E-Mails massiv in Windows-Netzwerken und nutze dabei einen Zero-Day-Exploit der in älteren, nicht mehr offiziell unterstützten Windows-Versionen (wie Windows XP) funktionierte. Dieser Exploit stellte sich daraufhin als Bestandteil der NSA-Leaks aus dem Fundus der Shadowbroker heraus, den die NSA bis 2013 geheim gehalten und für eigene Zwecke verwendet hatte. Weitere Details im Datenbank-Eintrag zu WannaCry. Eine weitere Enthüllung des Handbuchs zu einer Software namens UNITEDRAKE demonstriert die Fähigkeiten, jegliche Windows-Version von XP bis zu Windows 8 (und Server 2012) zu infiltrieren und als Plattform für die Datenaquise einzusetzen.