‘China kopieerde cyberwapen van de NSA’
Chinese staatshackers gebruikten tools van de Amerikaanse NSA, lang voordat die gelekt werden door de Shadow Brokers. Dat schrijft beveiliger Check Point Research.
Het zou gaan om een tool gebaseerd op een zogeheten zero-day exploit die door de NSA werd ontwikkeld om in Windows-systemen in te breken. Dat soort exploit, een achterdeurtje dat de Amerikaanse veiligheidsdienst kan gebruiken om systemen over te nemen en te bespioneren, is natuurlijk het waardevolst als alleen de NSA dat kent. Maar agenten van de Chinese overheid zouden de tool al jaren geleden gekloond hebben.
EpMe
Check Point schrijft in een rapport dat de Equation Group van de NSA in 2013 een reeks exploits ontwikkelde, waaronder eentje genaamd EpMe dat de privileges van de hacker op bepaalde Windows-systemen kan verhogen tot die van administrator. Daardoor heeft die controle over het systeem. Zo rond 2014 bouwde de Chinese groep staatshackers APT31, ofte Zirconium, de malware Jian. De aanvalstool lijkt bijzonder sterk op EpMe.
Het is niet zeker hoe China aan de EpMe exploit kwam. Er is altijd een mogelijkheid dat het team de bug zelf vond, maar volgens CheckPoint is de kans groot dat ze de tool op een of andere manier gekloond hebben. De Chinese code werd onder meer gevonden op de computers van vliegtuigbouwer Lockheed Martin, wat zou betekenen dat APT31 de code van de NSA gebruikte om zelf Amerikaanse doelwitten aan te vallen.
De originele tools, en het gebruik ervan door de NSA, werden begin 2017 gepubliceerd door de Shadow Brokers, een groep schimmige hackers die onder meer hoopten geld te verdienen met het verkopen van de exploits. Eens gelekt, werden de kwetsbaarheden door de bedrijven in kwestie, waaronder Microsoft, gedicht. Veel van de tools die de Shadow Brokers lekten zijn echter een eigen leven gaan leiden, en enkele van de meer beruchte exploits, zoals EternalBlue, waren mee verantwoordelijk voor de effectiviteit van bijzonder schadelijke malware als Wannacry en NotPetya.
Fout opgemerkt of meer nieuws? Meld het hier