Die Sicherheitsforscher von Check Point haben bei der Verfolgung von APT-Gruppen herausgefunden, dass Chinesen eine Cyber-Waffe kopieren konnten, die vermutlich von der US-amerikanischen Ermittlungsbehörde NSA eingesetzt wurde.
SAN CARLOS, Kalifornien, USA, 22. Februar 2021 – Check Point Research, die Sicherheitsforscher von Check Point® Software Technologies Ltd. (NASDAQ: CHKP), behalten durchgehend Advanced Persisten Threats (APT) im Auge. Bei den Beobachtungen bemerkten die Experten, dass eine chinesische Hacker-Gruppe es geschafft hatte, eine US-amerikanische Cyber-Waffe zu kopieren, die in der Lage war, Zero-Day-Angriffe durchzuführen. Die neue Form der Bedrohung trägt den Namen Jian (Dschiann), benannt nach einem chinesischen Schwert mit doppelter Klinge.
Ursprünglich entwickelt wurde die Malware von der Equation Group, einer APT-Gruppe, bei der Experten davon ausgehen, dass sie eng mit der US-amerikanischen Ermittlungsbehörde NSA zusammenarbeitet. Zuerst aufgetaucht war die Malware 2017 unter dem Namen EpMe, entdeckt von dem Incident Response Team der US-amerikanischen Rüstungsfirma Lockheed Martin. EpMe war in der Lage, Zero-Day-Elevation-Privilege-Angriffe gegen Rechner mit Windows XP oder Windows 8 als Betriebssystemen durchzuführen. Microsoft adressierte diesen Umstand mit dem Patch CVE-2017-0005 – damals ging man allerdings noch davon aus, dass der Ursprung von EpMe die chinesische Hacker-Gruppe APT31 sei. Die neuen Ergebnisse der Nachforschungen von Check Point Research zeigen allerdings, dass APT31 dabei lediglich die Waffe der Equation Group kopiert, und gegen die Vereinigten Staaten gerichtet hatte. Daher auch der Name Jian – das Schwert mit doppelter Klinge.
Jians Fähigkeiten
Ein typischer Angriff mit Jian umfasst drei Phasen:
Yaniv Balmas, Head of Cyber Research, Products - R&D bei Check Point, erklärt die Ergebnisse: „Im Rahmen eines laufenden Projekts überprüfen und analysieren unsere Malware- und Schwachstellenforscher ständig Zero-Day-Exploits zur Windows-Privilegienerweiterung, um Fingerabdrücke der Hacker zu sammeln und zu extrahieren. Diese Fingerabdrücke werden wiederum für die Zuordnung vergangener und zukünftiger Exploits verwendet und ermöglichen es uns, unbekannte Angriffe von bekannten Exploit-Entwicklern rechtzeitig zu erkennen und sogar zu blockieren. Während dieser speziellen Untersuchung gelang es unseren Forschern, die verborgene Geschichte hinter Jian, einem Zero-Day-Exploit, der zuvor APT31 zugeschrieben wurde, zu entschlüsseln. Sie konnten aufdecken, dass der wahre Ursprung ein Exploit ist, der von der Equation Group für dieselbe Schwachstelle erstellt wurde.“
Hier finden Sie die kompletten Forschungsergebnisse zur Cyber-Waffe.
Check Point Research bietet führende Cyber-Bedrohungsinformationen für Check Point Software-Kunden und die größere Intelligenz-Community. Das Forschungsteam sammelt und analysiert globale Cyber-Angriffsdaten, die auf der ThreatCloud gespeichert sind, um Hacker fernzuhalten und gleichzeitig sicherzustellen, dass alle Check Point Produkte mit den neuesten Schutzmaßnahmen aktualisiert werden. Das Forschungsteam besteht aus über 100 Analysten und Forschern, die mit anderen Sicherheitsanbietern, der Strafverfolgung und verschiedenen CERTs zusammenarbeiten.
Check Point Software Technologies Ltd. (www.checkpoint.com) ist ein führender Anbieter von Cyber-Sicherheitslösungen für Unternehmen und Regierungen weltweit. Die Lösungen schützen Kunden vor Cyber-Angriffen der 5. Generation mit einer branchenführenden Fangrate von Malware, Ransomware und anderen gezielten Angriffen. Check Point bietet die mehrstufige Sicherheitsarchitektur ‚Infinity‘ Total Protection mit Gen V Advanced Threat Prevention, die alle Netzwerke, Clouds und mobilen Operationen eines Unternehmens, sowie die Geschäftsinformationen auf diesen Geräten, vor allen bekannten Angriffen schützt. Check Point liefert zudem das umfassendsten und intuitivsten Single Point of Control Management-System der Branche. Check Point schützt über 100 000 Unternehmen jeder Größe in der ganzen Welt.
Folgen Sie Check Point
Twitter, Facebook, Blog, YouTube, LinkedIn
Kafka Kommunikation GmbH & Co. KG
Telefon: 089 747470580
E-Mail: info@kafka-kommunikation.de