Overslaan en naar de inhoud gaan

NSA-exploit jarenlang door China gebruikt

Een Chinese hackgroepering heeft voor aanvallen op Windows-systemen gebruik gemaakt van een kwetsbaarheid die de NSA heeft ontdekt, en stilgehouden. Securitybedrijf Check Point meldt op basis van analyse dat een hacktool van de 'NSA-afdeling' Equation Group deels is gekopieerd door de Chinese aanvalsgroep APT31. De 0-day en exploittool daarvoor blijken al jaren te zijn ingezet door China voordat ze zijn onthuld in een NSA-datalek.
NSA logo
© NSA
NSA

De Jian-tool van de Chinese hackgroep APT31 is volgens Check Point gemaakt door een ontwikkelaar die toegang had tot gecompileerde bestanden van de NSA-tool. De analyse door security-onderzoekers van het Israëlische bedrijf detailleert zelfs dat de Chinese malwaremaker zowel de 32-bit als ook de 64-bit uitvoering voorhanden had.

0-days 'oppotten'

Basis voor die tool is een voorheen onbekende, en dus ongepatchte kwetsbaarheid (een zogeheten 0-day) uit het digitale arsenaal van de NSA. Die Amerikaanse inlichtingendienst is omstreden vanwege het 'oppotten' van kwetsbaarheden in software. In plaats van het - al dan niet in het geheim - melden van beveiligingsproblemen bij IT-leveranciers zodat die het kunnen fixen, houdt de NSA in bepaalde gevallen zulke ontdekkingen voor zich. Dit om het dan offensief te kunnen gebruiken.

Check Point meldt nu dat de uit 2013 stammende NSA-exploittool EpMe ergens in 2014 is gerepliceerd door APT31 (ook wel bekend onder de naam Zirconium). Vervolgens is de resulterende Jian-tool sinds 2015 ingezet door Chinese aanvallers. Dit alles komt naar voren uit analyse van een exploit die begin 2017 door defensietoeleverancier Lockheed Martin is ontdekt en gemeld bij Microsoft. De daaronder liggende kwetsbaarheid (CVE-2017-0005) blijkt afkomstig van de NSA.

Zoeken in malware-databases

De link met de digitale wapenvoorraad van de Amerikaanse inlichtingendienst is naar voren gekomen door het reverse-engineeren van de Chinese code en het zoeken naar vergelijkend materiaal in de databases van Check Point. Daarbij leverde dit "extreem unieke" materiaal zoekresultaten op in malware-samples uit een datalek van de NSA. Concreet de vijfde infodump die hackergroep de Shadow Brokers in april 2017 wereldkundig heeft gemaakt.

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in