ShadowBroker: NSA Hacking-Tools veröffentlicht (Update /7)

Update: Da die Authentizität der veröffentlichten Hacking-Werkzeuge der EquationGroup mittlerweile durch Analysen von IT-Sicherheitsexperten sowie durch einige betroffene Hersteller von Netzwerk- und IT-Sicherheitstechnik bestätigt wurden, sind die Informationen in die Datenbank relevanter Cybervorfälle aufgenommen worden.  Aktualisierungen und Ergänzungen werden dort weitergepflegt. Der nachfolgende Texte ist die Ursprungs-Version der Meldung.

Allem Anschein nach wurden einige der Hacking-Tools der NSA (aus dem Jahr 2013) durch eine Hacking Gruppe namens „ShadowBroker“ veröffentlicht. Die Gruppe hat am vergangenen Wochenende eine Datei mit Exploits (Software zum Ausnutzen von Sicherheitslücken) und maßgeschneiderten Angriffswerkzeugen gegen populäre IT-Sicherheits-Software veröffentlicht und – verbunden mit einer Auktion – weitere Ressourcen angekündigt.

Die Software soll aus dem Jahre 2013 stammen und von der Equation Group stammen, die möglicherweise seit zwei Jahrzehnten gezielte Hacking-Angriffe entwickelt und gegen hochrangige Ziele durchführt. Seit ihrer Entdeckung im Jahr 2015 gegen IT-Sicherheitsfachleute davon aus, dass die Gruppe Bestandteil der NSA-Einheit Tailored Access Operations (TAO) ist, die für offensive und hochentwickelte maßgeschneiderte Hackingangriffe zuständig ist und im Rahmen der Snowden-Enthüllungen bekannt gemacht wurde. Einige der TAO-Angriffswerkzeuge wie MONSTERMIND sind dabei automatisierte Hacking-Tools, die nach Scans von Zielen diese automatisiert mit passenden Exploits angreifen, Sicherheitslücken ausnutzen und Rechner infizieren.

Hinsichtlich der Authentizität der veröffentlichten Daten gehen ersten Analysen davon aus, dass sie tatsächlich echt sind und direkt aus der NSA-Quelle stammen (also bspw. nicht von einem, durch die NSA kompromittierten System extrahiert wurden):

Because of the sheer volume and quality, it is overwhelmingly likely this data is authentic. And it does not appear to be information taken from comprised systems. Instead the exploits, binaries with help strings, server configuration scripts, 5 separate versions of one implant framework, and all sort of other features indicate that this is analyst-side code­ — the kind that probably never leaves the NSA. (Q: Nicholas Weaver @lawfareblog.com / lokale Kopie)

Den genauen Umfang der Angriffstools, deren Qualität und die Identifikation möglicher Angriffsopfer werden die kommenden Wochen liefern. Interessant sind aber die möglichen Konsequenzen aus den Veröffentlichungen. Zum einen deutet bereits der Umstand des Hacks darauf hin, dass es neben der NSA offensichtlich Hacker gibt die fähig und willens sind in diese Organisation einzubrechen und Daten zu entwenden. Eine solche Gruppe steht vermutlich in staatlichem Auftrag. Sofern der Zeitpunkt der Hacks (2013) korrekt ist stellt sich die nächste Frage, warum die Daten gerade jetzt veröffentlicht wurde. Eine denkbare Option ist, dass dies als Machtdemonstration und Zeichen gegen eine andere Nation gerichtet ist.

Okay, so let’s think about the game theory here. Some group stole all of this data in 2013 and kept it secret for three years. Now they want the world to know it was stolen. Which governments might behave this way? The obvious list is short: China and Russia. Were I betting, I would bet Russia, and that it’s a signal to the Obama Administration: „Before you even think of sanctioning us for the DNC hack, know where we’ve been and what we can do to you.“ (Q: Bruce Schneier@schneier.com, lokale Kopie)

Eine weitere mögliche Konsequenz wäre, dass mit den veröffentlichten Hacking-Tools rückwirkend Angriffe untersucht werden und diese dem Konto der Equation Group zugewiesen werden könnten. Da ferner eine der typischen Taktiken der Gruppe darin bestand, sehr langfristig und verborgen in kompromittierten Systemen zu ruhen könnten im Nachgang auch weitere, bislang unentdeckte Hacks in hochrangigen Systemen entdeckt werden. Sofern die aktuellen Mutmaßungen zutreffen muss aus Sicht der NSA aktuell sogar davon ausgegangen werden, dass die Angreifer der ShadowBroker-Gruppe möglicherweise nach wie vor über den verdeckten Zugang zu NSA-Systemen und damit Informationen zu  laufenden Operationen und den entwickelten neueren Hacking-Tools verfügen. Nicht zuletzt bedeutet die aktuelle Veröffentlichung, dass damit hochentwickelte Angriffswerkzeuge – die mitnichten veraltet sind – aller Welt zur Verfügung gestellt wurden und damit möglicherweise weitere Systeme geknackt werden können.

Ein paar weitere Details und Wortmeldungen von ehemaligen TAO-Mitarbeitern finden sich hier bei der Washington Post (lokale Kopie) und bei TechTarget (lokale Kopie).

Update (18.8.2016): Laut heise.de (lokale Kopie) reagiert mit CISCO ein erster Hersteller auf die veröffentlichten Angriffswerkzeuge. Das Unternehmen veröffentlicht Sicherheitsaktualisierung für die Software ihrer Geräte (sog. Patches), bei der unter anderem eine als „hoch“ eingestufte Sicherheitslücke behoben wird:

Cisco stuft den Bedrohungsgrad der Zero-Day-Lücke mit Hoch ein. Sie findet sich im Simple Management Protocol (SNMP) der Adaptive Security Appliance (ASA) Software. Ein Angreifer könne die Lücke ohne Authentifizierung aus der Ferne ausnutzen, um eigenen Code auszuführen und im schlimmsten Fall ein komplettes System zu kapern. (Q:heise.de /lokale Kopie)

Damit können die veröffentlichten Angriffs-Werkzeuge als authentisch angesehen werden – auch wenn dies natürlich noch nicht die Herkunft bestätigt.

Update/2 (18.8.2016): Offenbar patcht auch der Firewall-Hersteller FortiGate seine Produkte und schließt damit Sicherheitslücken die als kritisch bewertet werden und durch deren Ausnutzung Hacker Vollzugriff auf die Geräte bekommen können. FortiGate räumt keinen direkten Zusammenhang zu den NSA-Veröffentlichungen ein, dieser liegt lt. heise.de-Bericht und anderen Analysten aber sehr nahe. (Q: heise.de / lokale Kopie)

Update/3 (18.8.2016): Die folgende Analyse des IT-Security-Unternehmens „Risk based Security“ enthält sehr viele lesenwerte technische Details, Code-Namen und Hintergründe zu den ausgenutzten Sicherheitslücken der Hacking-Tools: The Shadow Brokers: Lifting the Shadows of the NSA’s Equation Group? (lokale Kopie)

Update/4 (19.8.2016): Sicherheitsforscher haben in dem veröffentlichten Datensatz ein Hacking-Werkzeug namens „BENIGNCERTAIN“ gefunden, mit dem sich offenbar verschlüsselten Verbindungen (sog. VPN-Tunnel) von bestimmten CISCO-Produkten aushebeln und abhören lassen. Das Hilfsmittel wurde erfolgreich durch die Sicherheitsexperten getestet und gilt als echt. VPN-Tunnel sind u.a. ein typisches Hilfsmittel für Mitarbeiter_Innen die aus der Ferne (bspw. einer Regierungszweigstelle) mit zentralen Diensten kommunizieren müssen und sich dafür über eine verschlüsselte Verbindung mit einem Netzwerk verbinden. (Q: musalbas.com / lokale Kopie)

Update/5 (22.8.2016): Im Kontext der Veröffentlichungen zur Equation-Group hat CISCO heute weitere Sicherheitsaktualisierungen herausgegeben,  mit denen unter anderem zwei als „besonders kritisch“ bewertete Lücken geschlossen werden. Wie bereits zuvor ist/war es mit Hilfe dieser Lücken möglich Vollzugriff über Firewall-Systeme des Unternehmens zu erhalten und damit genau jene Systeme frei steuern zu können, die eigentlich für den Schutz gedacht sind. (Q: heise.de, lokale Kopie)

Update/6 (23.8.2016): Mit der weltweit agierenden Firma Juniper hat ein weiteres Unternehmen aus dem Markt der Firewall- und Netzwerk-Sicherheit bekannt gegeben (lokale Kopie), dass die Veröffentlichungen der ShadowBroker gezielte Angriffe auf ihre Produkte enthält. Dabei sollen lt. Firmen-Angaben keine Schwächen in der Software attackiert werden, sondern der Angriff bezieht sich auf den Boot-Loader, also jenen Teil eines Gerätes, der beim Start der Hardware aktiv wird und als erstes – noch vor Betriebssystemen – ausgeführt wird. Angriffe auf diese Stufe sind oft sehr effektiv, da der Boot-Loader (und mit ihm eventueller Schadcode) noch vor den gängigen Schutz-Mechanismen geladen wird. Allerdings sind derartige Manipulation in aller Regel sehr viel schwerer zu bewerkstelligen, da damit Bereiche des Gerätes angegriffen werden müssen, die sich meist dem direkten Zugriff eines laufenden Betriebssystems entziehen. Allerdings wurden im Rahmen der Snowden-Enthüllungen auch Angriffe mit Hardware-Implantaten (die bspw. auf dem Postweg heimlich in Geräte eingebaut werden) sowie manipulierten Festplatten bekannt, die für solche Attacken genutzt werden könnten.

Update/7 (20.10.2016): Einem Bericht der Seite SearchSecurity (lokale Kopie), der sich auf eine Meldung der ShadowBroker (Originallink offline http://pastebin.com/5R1SXJZp / lokale Kopie) selbst bezieht, wurde die Auktion aufgrund zu geringer Gebote abgebrochen und die ShadowBroker setzten nun statt dessen auf den direkten Verkauf der Dateien.