Die Sicherheitsforscher von Check Point haben bei der Analyse von Advanced Persisten Threats (APT) herausgefunden, dass eine chinesische Hacker-Gruppe eine Malware kopieren konnte, die vermutlich von der US-amerikanischen Ermittlungsbehörde NSA eingesetzt wurde. Sie trägt den Namen Jian (Dschiann), benannt nach einem chinesischen Schwert mit doppelter Klinge.
Ursprünglich entwickelt wurde die Malware von der Equation Group, einer APT-Gruppe, bei der Experten davon ausgehen, dass sie eng mit der US-amerikanischen Ermittlungsbehörde NSA zusammenarbeitet. Zuerst aufgetaucht war die Malware 2017 unter dem Namen EpMe, entdeckt von dem Incident Response Team der US-amerikanischen Rüstungsfirma Lockheed Martin.
EpMe war in der Lage, Zero-Day-Elevation-Privilege-Angriffe gegen Rechner mit Windows XP oder Windows 8 als Betriebssystemen durchzuführen. Microsoft adressierte diesen Umstand mit dem Patch CVE-2017-0005 – damals ging man allerdings noch davon aus, dass der Ursprung von EpMe die chinesische Hacker-Gruppe APT31 sei.
Die neuen Ergebnisse der Nachforschungen von Check Point Research zeigen allerdings, dass APT31 dabei lediglich die Waffe der Equation Group kopiert, und gegen die Vereinigten Staaten gerichtet hatte. Daher auch der Name Jian – das Schwert mit doppelter Klinge.
Ein typischer Angriff mit Jian umfasst drei Phasen:
1. Initiale Kompromittierung eines Windows-Zielcomputers..
2. Privilegienerweiterung auf die höchsten Privilegien.
3. Vollständige Installation von Malware durch den Angreifer.
Yaniv Balmas, Head of Cyber Research, Products - R&D bei Check Point, erklärt die Ergebnisse: „Unsere Malware- und Schwachstellenforscher überprüfen und analysieren ständig Zero-Day-Exploits zur Windows-Privilegienerweiterung, um Fingerabdrücke der Hacker zu sammeln und zu extrahieren.“
„Diese Fingerabdrücke werden für die Zuordnung vergangener und zukünftiger Exploits verwendet und ermöglichen es uns, unbekannte Angriffe von bekannten Exploit-Entwicklern rechtzeitig zu erkennen und sogar zu blockieren.“
„Während dieser speziellen Untersuchung gelang es unseren Forschern, die verborgene Geschichte hinter Jian, einem Zero-Day-Exploit, der zuvor APT31 zugeschrieben wurde, zu entschlüsseln. Sie konnten aufdecken, dass der wahre Ursprung ein Exploit ist, der von der Equation Group für dieselbe Schwachstelle erstellt wurde.“