Diese Karte zeigt die globale Verbreitung von Zero-Day Hacking-Techniken
Andy Greenberg Sicherheit 04.06.2020 08:00 AM
Diese Karte zeigt die globale Verbreitung von
Zero-Day Hacking-Techniken
Die Sammlung von Ländern, die diese geheimen
Hacking-Techniken verwenden, hat sich weit über die üblichen
Verdächtigen hinaus erweitert.
Mit freundlicher Genehmigung von FireEye
Sogenannte Zero-Day-Exploits – Hacking
Techniken, die geheime Softwarefehler ausnutzen – waren einst die
Visitenkarte nur der anspruchsvollsten Hacker. Aber heute hat sich die
globale Karte des Zero-Day-Hackings weit über die Vereinigten Staaten,
Russland und China hinaus ausgebreitet, da sich mehr Länder als je zuvor
einen Platz auf ihr kaufen.
Das Sicherheits- und Geheimdienstunternehmen
FireEye hat heute eine umfassende Analyse veröffentlicht, wie Zero-Days
in den letzten sieben Jahren weltweit ausgenutzt wurden, und dabei Daten
aus der Berichterstattung anderer Forschungsorganisationen sowie der
Google Project Zero-Datenbank aktiver Nulltage herangeführt. FireEye war
in der Lage, die Verwendung von 55 dieser geheimen Hacking-Techniken mit
staatlich geförderten Operationen zu verknüpfen, so weit zu gehen, zu
benennen, welches Land die Regierung des Landes in jedem Fall für
verantwortlich hält.
Die resultierende Karte und die Zeitachse, mit
deren Auszählung die Länder in den letzten zehn Jahren die meisten
Nulltage genutzt haben, sind alles andere als umfassend. Länder wie die
USA haben mit ziemlicher Sicherheit Null-Tage genutzt, die unentdeckt
geblieben sind, räumt FireEye ein, und viele andere konnten nicht mit
Sicherheit auf ein bestimmtes Land fixiert werden. Aber es zeigt, wie
die Sammlung von Ländern, die diese Hacking-Techniken verwenden, jetzt
weniger erwartete Spieler wie die Vereinigten Arabischen Emirate und
Usbekistan umfasst.
Diese Verbreitung, argumentiert FireEye, ist
zumindest teilweise auf eine wachsende Branche von Hackern
zurückzuführen, die Zero-Day-Tools entwickeln und an Geheimdienste auf
der ganzen Welt verkaufen. Jede Nation mit Geld kann relativ
ausgeklügelte Hacking-Fähigkeiten kaufen, anstatt sie zu bauen. "Seit
etwa 2017 hat sich das Feld sehr diversifiziert. Wir denken, dass dies
zumindest teilweise auf die Rolle von Anbietern zurückzuführen ist, die
offensive Cyberbedrohungsfunktionen anbieten", sagt Kelli Vanderlee, die
Leiterin der FireEye Intelligence Analysis Group. "Die größte Barriere
zwischen einem Angreifer und einem Null-Tag ist nicht Geschicklichkeit,
sondern Bargeld."
Insbesondere verweist FireEye auf NSO Group,
Gamma Group und Hacking Team als die Art von Auftragnehmern, die es
einem neuen Kader von Ländern ermöglicht haben, sich den Weg in das
Zero-Day-Hacking-Feld zu verschaffen. Die Nulltage der NSO Group haben
sich beispielsweise in den Händen von Spionage-orientierten
Hackergruppen gezeigt, von denen angenommen wird, dass sie mit den
Vereinigten Arabischen Emiraten in Verbindung gebracht werden, wie
Stealth Falcon und FruityArmor. Drei dieser NSO-verknüpften Nulltage
wurden auch von einer Gruppe namens SandCat verwendet, die mit
usbekischem Geheimdienst SSS in Verbindung steht. (Die notorisch
repressive SSS erwies sich als so unerfahren, dass Agenten Kaspersky
Antivirus auf einigen der gleichen Maschinen installierten, die sie für
die Entwicklung von Malware verwendeten, und ihre eigenen Operationen
offenlegte.)
Von 2012 bis 2015 hingegen hat FireEye alle
bis auf drei der 26 Nulltage, die es Russland und China zuschreiben
könnte, gebunden. Die Firma verband Nordkorea, Frankreich und Israel in
diesem Zeitraum mit einem weiteren Null-Tag-Stück.
Da kleinere Spieler mehr Zugriff auf
Zero-Day-Exploits erhalten, nutzen die Cyber-Mächte der obersten Stufe
tatsächlich weniger davon, wie FireEyes Analyse zu zeigen scheint. Seine
Zeitleiste listet nur zwei Null-Tage auf, die mit China in den letzten
zwei Jahren und keine mit Russland verbunden waren. Vanderlee von
FireEye argumentiert, dass China und Russland sich weitgehend dafür
entschieden haben, andere Techniken in ihrer Hacking-Operation zu
verwenden, die oft effizienter und leugnbarer sind: Phishing- und
Commodity-Hacking-Tools, gestohlene Anmeldeinformationen und andere
"Leben vom Land"-Taktiken, die bestehende Funktionen missbrauchen, um
sich durch Opfernetzwerke zu bewegen, und so genannte
"Ein-Tages"-Exploits. Ausgeklügelte Hacker können software-Updates oft
zurückentwickeln, um schnell Angriffe zu entwickeln, bevor die
Korrekturen weit verbreitet sind. Es ist ein kostengünstigerer und
zeitaufwändiger Prozess als die Suche nach Schwachstellen von Grund auf.
"Innerhalb von Stunden nach der Offenlegung
einer Schwachstelle sind sie in der Lage, einen Exploit zu erstellen und
zu nutzen", sagt Vanderlee. "Das Warten auf solche Schwachstellen könnte
für diese Akteure eine mehr-bang-for-your-buck-Strategie sein, da sie
nicht die Ressourcen einsetzen müssen, um einen Null-Tag zu finden,
indem sie Software-Code durchstöben."
Da die Fehler per definitionem geheim sind,
wissen die Analysten von FireEye nicht, was sie nicht wissen. "Dies ist
keine ganzheitliche Sicht auf die Null-Tage, die es in der ganzen Welt
gibt, sondern die, die bisher gefunden wurden", sagt Parnian Najafi, ein
FireEye-Analyst.
Andere beobachtete Null-Tage wurden ebenfalls
nicht berücksichtigt, da FireEye nicht über ausreichende Beweise
verfügte, um sie zuzuordnen. Bemerkenswert abwesend in der Timeline ist
Saudi-Arabien, das angeblich einen Null-Tag in WhatsApp verwendet, um
das persönliche Telefon von Amazon-Chef Jeff Bezos zu hacken. Abgesehen
von acht NSA-Nulltagen, die von der mysteriösen Shadow
Brokers-Gruppedurchgesickert sind und eine, die im 2017 Vault 7
Dumpenthüllt wurde, fehlen auch die Hacker-Tools der USA auffällig in
der Timeline. Auch Südkorea ist abwesend; eine der Hackergruppen des
Landes war vor kurzem an fünf Null-Tage gebunden, die verwendet wurden,
um Nordkoreaner anzugreifen,aber diese Entdeckung kam zu spät, um in
FireEyes Studie aufgenommen zu werden.
So unvollständig es auch sein mag, FireEyes
Daten deuten dennoch auf einen beunruhigenden Trend hin: Leistungsstarke
Hacking-Tools vermehren sich. Da Hacker-Auftragnehmer ihren Kundenstamm
weiter erweitern, erwarten Sie, dass mehr Flaggen an mehr Stellen auf
der Zero-Day-Karte angezeigt werden.
https://www.wired.com/story/zero-day-hacking-map-countries/
Die beigefügte Karte ist nicht mehr aktuell, die Spezialisten der Rep. Korea haben erfolgreich 5 Zero-Day angewendet.