NSA-exploit jarenlang door China gebruikt

De Jian-tool van de Chinese hackgroep APT31 is volgens Check Point gemaakt door een ontwikkelaar die toegang had tot gecompileerde bestanden van de NSA-tool. De analyse door security-onderzoekers van het Israëlische bedrijf detailleert zelfs dat de Chinese malwaremaker zowel de 32-bit als ook de 64-bit uitvoering voorhanden had.

0-days 'oppotten'

Basis voor die tool is een voorheen onbekende, en dus ongepatchte kwetsbaarheid (een zogeheten 0-day) uit het digitale arsenaal van de NSA. Die Amerikaanse inlichtingendienst is omstreden vanwege het 'oppotten' van kwetsbaarheden in software. In plaats van het - al dan niet in het geheim - melden van beveiligingsproblemen bij IT-leveranciers zodat die het kunnen fixen, houdt de NSA in bepaalde gevallen zulke ontdekkingen voor zich. Dit om het dan offensief te kunnen gebruiken.

Check Point meldt nu dat de uit 2013 stammende NSA-exploittool EpMe ergens in 2014 is gerepliceerd door APT31 (ook wel bekend onder de naam Zirconium). Vervolgens is de resulterende Jian-tool sinds 2015 ingezet door Chinese aanvallers. Dit alles komt naar voren uit analyse van een exploit die begin 2017 door defensietoeleverancier Lockheed Martin is ontdekt en gemeld bij Microsoft. De daaronder liggende kwetsbaarheid (CVE-2017-0005) blijkt afkomstig van de NSA.

Zoeken in malware-databases

De link met de digitale wapenvoorraad van de Amerikaanse inlichtingendienst is naar voren gekomen door het reverse-engineeren van de Chinese code en het zoeken naar vergelijkend materiaal in de databases van Check Point. Daarbij leverde dit "extreem unieke" materiaal zoekresultaten op in malware-samples uit een datalek van de NSA. Concreet de vijfde infodump die hackergroep de Shadow Brokers in april 2017 wereldkundig heeft gemaakt.