Symantec: Chinese hackers hebben Shadow Brokers mogelijk aan hacktools geholpen

De exploits die de Shadow Brokers in 2016 en 2017 online zetten, waarvan ze claimden dat ze afkomstig waren van de NSA, zijn mogelijk gestolen van de NSA door Chinese staatshackers. Die diefstal zou mogelijk plaatsgevonden hebben tijdens een NSA-aanval op China.

Symantec stelt in een onderzoeksrapport dat de tools die de Shadow Brokers in 2016 en 2017 vrijgaven, ten minste een jaar daarvoor al gebruikt werden door de zogenaamde Chinese Buckeye-groep, ook wel bekend als APT3 en Gothic Panda, die hacks voor het Chinese ministerie van Staatsveiligheid uitvoert. Die zou het bemachtigd hebben tijdens een aanval van de Equation Group, die naar verluidt banden heeft met de NSA, op Buckeye. De tools zijn uiteindelijk gebruikt om de omvangrijke WannaCry-ransomware-aanvallen uit te voeren op onder andere Britse zorginstellingen. Daar zat Noord-Korea vermoedelijk achter.

Dit zou betekenen dat de vermeende keten van de Amerikaanse NSA, naar staatshackers in China, naar de Shadow Brokers, naar Noord-Korea loopt, uitmondend in een aanval op het land dat van origine de exploits ontwikkeld heeft, en diens bondgenoten.

Buckeye zou ten minste een jaar voor het Shadow Brokers-lek de tools al in gebruik hebben. Die groep zou in de loop van 2017 zijn werk hebben neergelegd en drie vermeende leden zouden geïdentificeerd zijn door de Amerikaanse justitie. Echter, in de loop van 2017 en 2018 werden nog steeds exploit-tools gebruikt die toebehoren aan Buckeye: Bemstour en een variant van DoublePulsar.

Symantec baseert zijn vermoeden dat Buckeye de tools en exploits aan de Shadow Brokers heeft geleverd dus op het feit dat Buckeye zelf varianten hiervan hanteerde in de maanden voorafgaand aan de Shadow Brokers-dump. Het feit dat het echter om varianten gaat, laat de mogelijkheid open dat de Shadow Brokers de tools op een andere manier hebben bemachtigd.

Reacties (24)

veeence 7 mei 2019 16:38

De titel is wat misleidend volgens mij. In de conclusie van het Symantec artikel wordt expliciet vernoemd dat de meest waarschijnlijke optie is dat Buckeye de exploits van de Equation Group in handen heeft gekregen a.d.h.v. het analyseren van network packet dumps. Dit sluit ook aan met de rest van hun artikel en het feit dat de dump van de Shadow Brokers veel completer was (i.e. FuzzBunch, exploits voor Cisco routers, Swift documentatie etc.).

M.b.t. tot de titel van dit artikel geeft Symantec dit aan:
"Other less supported scenarios, given the technical evidence available, include Buckeye obtaining the tools by gaining access to an unsecured or poorly secured Equation Group server, or that a rogue Equation group member or associate leaked the tools to Buckeye."

dez11de @veeence • 7 mei 2019 17:13

Het woord China komt iig niet in het gelinkte rapport voor.

Zyphlan

China
Verenigde staten

7 mei 2019 16:55

Ok dus als ik het goed begrijp:

Amerika -> Hackt China
China -> Bemachtigt hacking tools vanuit deze aanval
China -> Geeft deelt deze met een bondgenoot
NK -> Is de bondgenoot en lanceert een ransomware?

Of zit ik nu volledig fout corrigeer me dan alsjeblieft

GeoBeo @Zyphlan • 7 mei 2019 17:09

Ok dus als ik het goed begrijp:

Amerika -> Hackt China
China -> Bemachtigt hacking tools vanuit deze aanval en Westerse media suggereren dat China de aanvaller was die de hacking tools van onschuldig Amerika gestolen heeft.
China -> deelt deze met een bondgenoot
NK -> Is de bondgenoot en lanceert een ransomware?

Of zit ik nu volledig fout corrigeer me dan alsjeblieft

Kleine toevoeging. De clickbait titel is immers "Chinese hackers hebben Shadow Brokers mogelijk aan hacktools geholpen".

"NSA viel Shadow Brokers aan en lekte daarbij eigen hack tools aan Shadow Brokers" is correcter, als ik het Symantec artikel goed begrijp.

Het valt me nog mee dat ze de Russen er dit keer niet bij in verzinnen.

[Reactie gewijzigd door GeoBeo op 23 juli 2024 06:07]

Verwijderd @GeoBeo • 7 mei 2019 17:34

Wat ik hier uit opmaak is:

Amerika heeft een bende incompetente cybersoldaten die hun hacking tools niet hebben kunnen veilig stellen, en China's cybersoldaten hebben ze gestolen.

M.a.w. 1-0 voor China.

Voor de rest business as usual. Patchen maar al die operating systemen en populaire softwares waarvan die hacking tools gebruikt maakten. Zo wordt het voor iedereen veiliger.

GeoBeo @Verwijderd • 7 mei 2019 17:58

Voor de rest business as usual. Patchen maar al die operating systemen en populaire softwares waarvan die hacking tools gebruikt maakten. Zo wordt het voor iedereen veiliger.

Dit is wel erg naïef natuurlijk. De NSA heeft een geschat budget van 10 Miljard USD per jaar. De tools waar dit bericht over gaan zijn al zeker zo'n 10 jaar oud (maar werkten jaren lang, zolang hun bestaan nog niet uitgelekt was).

Als je denkt dat software met zelfs de nieuwste patches niet gehackt kunnen worden door NSA dan is dat redelijk naïef denk ik

Ze hebben voldoende middelen om de slimste van de slimsten in te huren en alles gehackt te krijgen. Ook de nieuwste software. Met "hacken" bedoel ik niet alleen cracken en kwetsbaarheden vinden, maar ook gewoon bypasses. Zoals deze recente om op alle Dell laptops die je wilt remote code uit te kunnen voeren. Zonder ook maar iets te hoeven kraken.

Het is verder redelijk aannemelijk dat ze backdoors laten inbouwen in Amerikaanse hardware en software.

Volgens de Amerikaanse wet mogen ze verder onbeperkt alle gegevens van alle Amerikaanse bedrijven opvragen, zonder dat de bedrijven daarover mogen publiceren. Inclusief jouw en mijn gegevens. Dus vaak is hacken überhaupt helemaal niet nodig om alles te kunnen weten voor ze.

Wat ik daar uit opmaak is dat de NSA als geheime dienst zo machtig is (met haar toegang tot alle informatie) dat ze in feite een schaduwoverheid is met politieke wereldmacht. En dat andere schaduwoverheden en criminelen daar stukjes van kunnen afpakken en mee kunnen doen wat ze willen. Dat alles ten kosten van ons. En dat wij daar met z'n allen als makke schaapjes nooit wat vanaf zullen weten.

[Reactie gewijzigd door GeoBeo op 23 juli 2024 06:07]

Verwijderd @GeoBeo • 7 mei 2019 19:06

Ben ik het allemaal mee eens. Ik zei niet dat de NSA een bende incompetente cybersoldaten is. Maar wel dat ze een bende incompetente cybersoldaten hebben.

Belangrijk verschil.

In die gigantische organisatie zitten dus ook incompetente mensen. En die hebben hun organisatie haar eigen tools niet kunnen veiligstellen. China heeft ook zo'n gigantische organisatie, en die heeft via die incompetente mensen die tools gestolen.

M.a.w. 1-0 voor China.

Als die geweldige NSA zo super geweldig is, dan had ze maar meer moeten investeren in de beveiliging van de systemen waarmee haar medewerkers werken. Want dat is toch ook een doelstelling van de NSA. Alleen vonden de laatste jaren de top van de NSA dat de NSA een offensieve en niet een defensieve organisatie moet worden. Maw ipv hun land en hun netwerken en systemen te beveiligen, vallen ze anderen hun netwerken en systemen aan. Dat zijn de andere landen dan ook gewoon gaan doen. En daaruit is gebleken dat de super geweldige NSA qua defensie niet zo super geweldig is.

Verwijderd @Verwijderd • 7 mei 2019 19:35

Ben ik het allemaal mee eens. Ik zei niet dat de NSA een bende incompetente cybersoldaten is. Maar wel dat ze een bende incompetente cybersoldaten hebben.

Als jij zeker weet dat dat lek door incompetentie is ontstaan en niet bijvoorbeeld door toeval, domme pech of zelfs iemand binnen de NSA die voor China werkte, denk ik dat je die achtergrond even met ons moet delen. Nu is het gewoon maar roeptoeteren zonder enige bron. Wil je ook even hard maken dat het inderdaad China was? Die geef je wel de 1:0 maar Symantec doet dat nadrukkelijk niet. Dit soort zaken zijn ingewikkeld em we hebben geen niet gesubstantieerde verdachtmakingen nodig om het allemaal nog ondoorzichtiger te maken.

Het rapport van Symantec is staat prima op zichzelf. Als we ons daar nu eerst eens op baseren?

GeoBeo @Verwijderd • 8 mei 2019 11:08

[...]
Als jij zeker weet dat dat lek door incompetentie is ontstaan en niet bijvoorbeeld door toeval, domme pech of zelfs iemand binnen de NSA die voor China werkte, denk ik dat je die achtergrond even met ons moet delen. Nu is het gewoon maar roeptoeteren zonder enige bron. Wil je ook even hard maken dat het inderdaad China was? Die geef je wel de 1:0 maar Symantec doet dat nadrukkelijk niet. Dit soort zaken zijn ingewikkeld em we hebben geen niet gesubstantieerde verdachtmakingen nodig om het allemaal nog ondoorzichtiger te maken.

Het rapport van Symantec is staat prima op zichzelf. Als we ons daar nu eerst eens op baseren?

Dit gaat over het falen van geheime diensten. Het enige wat wij als burgers kunnen doen is roeptoeteren. Dat is erg jammer, dat ben ik met je eens. Maar wat moeten we als burgers anders dan speculeren?

We zullen er nooit achter komen wat hier echt achter zat.

En daar heb je gelijk het hele probleem van geheime diensten met teveel controlerende macht over burgers: ze maken een maatschappij per definitie ondemocratisch.

[Reactie gewijzigd door GeoBeo op 23 juli 2024 06:07]

janbaarda @Verwijderd • 8 mei 2019 05:10

Dus: De Equation Group, US overheidshackers, valt Chinese doelen aan. De Chinese defensie, niet op het achterhoofd gevallen, vangt de aanval op en buigt deze via een bevriende mogendheid terug op de aanvaller. Kortom: wie een gat graaft voor een ander ...

Mooi verhaal voor de klein kinderen.

Zyphlan

China
Verenigde staten

@GeoBeo • 7 mei 2019 18:30

Bedankt ik vond het al zo raar geformuleerd. Wel jammer dat het dus echt geframed wordt in een china daglicht terwijl daar de schuld niet ligt en ook niet echt bewezen kan worden. Bondgenoten delen nou eenmaal kennis met elkaar

Verwijderd @GeoBeo • 8 mei 2019 08:52

+heelveel voor de russen

Pizzaballs 7 mei 2019 17:05

Zijn mogelijk gestolen, Zou mogelijk plaatsgevonden hebben, Mogelijk aan hacktools geholpen, Die zou het bemachtigd hebben, die naar verluidt banden heeft, zat Noord-Korea vermoedelijk achter, drie vermeende leden zouden, afsluitend: Laat de mogelijkheid open dat de Shadow Brokers de tools op een andere manier hebben bemachtigd.

Mmm veel zekerheden niet kunnen aantreffen in dit artikel...zeer speculatief.

the_stickie @Pizzaballs • 7 mei 2019 17:18

Het oorspronkelijke rapport is veel minder in de voorwaardelijke wijs. Het artikel lijkt wel gebaseerd op de laatste alinea "Unanswered questions" en/of tweakers.net twijfelt aan de claims van Symantec.

Het rapport zelf is een technische analyse met een heel andere insteek dan het tweakers.net artikel. Nochtans bevat het rapport zeker ook interessante analyses die ook nieuwswaardig zijn (voor een technisch publiek)

Pizzaballs @the_stickie • 7 mei 2019 17:32

Eens, oorspronkelijke rapport heb ik ook gelezen. Vond deze synopsis/post te onduidelijk en eenzijdig.

kuurtjes 7 mei 2019 16:50

Mediazaak weeral.

Een exploit is een exploit en iedereen met een deftige netwerk logger zou deze uiteindelijk kunnen namaken.

Dat de "tools" daarintegen zijn gehackt is wat de media ervan maakt.

Dit laat natuurlijk niet uit dat ze elkaar aanvallen. Maar alles wat ik erover lees zit in een super-cyberwarfare-jasje en dat stoort me.

[Reactie gewijzigd door kuurtjes op 23 juli 2024 06:07]

Rob Coops 7 mei 2019 17:01

Het is ook heel goed mogelijk dat shadow brokers de tools wel echt heeft weten te stelen van de NSA na de verschillende lekken waaronder die door Snowden mag het duidelijk zijn dat de NSA lang niet altijd hun beveiliging op orde heeft. En dat het dus niet ondenkbaar is dat deze tools inderdaad van de NAS of van een contractor werkend voor de NSA gestolen zijn. Ook kan het best zo zijn dat China een sommige van deze exploits zelf heeft gevonden en dat de NSA na dat China de aanval gebruikte heeft geleerd hoe dit werkte...
Het probleem met het onder de pet houden van dit soort exploits is dat uiteindelijk je ze zelf gebruikt en dus de vijand laat zien hoe ze werken of de vijand ze ook vind en je dus een verdediging tegen dit sort aanvallen kan opzetten.

Gezien shadow brokers toch wel erg veel informatie in handen hadden die van de NSA afkomstig was lijkt het me eerder dat zij inderdaad een contractor of misschien zelfs de NSA (een verloren USB stick of een laptop) hebben weten te hacken en deze informatie op die manier gevonden hebben in plaats van een situatie waar in de Chinese overheid of contractors voor die overheid de moeite hebben genomen zo veel nep NSA documenten te maken en deze aan een groep scriptkiddies te geven om op die manier de NSA in een kwaad daglicht te stellen.
Of Noord Korea informatie van de shadow brokers gekocht heeft of dat zij simpel weg zo als zo veel andere de informatie vrijgegeven door de shadow brokers hebben gebruikt om de aanvallen te lanceren wie zal het zeggen maar ik gok toch echt op het laatste.

Er is geen echte oplossing voor dit soort verhalen de NSA zal niet toegeven te zijn gehackt de Chinese overheid zal niet toegeven de code te hebben overhandigd, Noord Korea zal niet beweren te hebben betaald voor de hack. En natuurlijk zal niemand van shadow brokers naar voren treden om uit te leggen hoe het echt zit.

Wat ik nog steeds erg raar vind aan het verhaal is dat de NSA nog de FBI nog welke andere 3 letter organisatie binnen de VS ooit echt iets heeft gedaan om de shadow brokers groep aan te pakken. Het lijkt er daar door op dat ze misschien wel erg goed weten wie dit zijn en dat het eventueel zelfs een operatie van uit de overheid is geweest om te kijken of bepaalde mensen zich zouden melden, zeker omdat de hacks wat hen betreft toch al op straat lagen (de Chinezen kende de aanvallen schijnbaar al). Wie weet wat er echt van waar is maar als ik zie hoe men de ene na de andere darknet website aan weet te pakken, maar tot op heden nog niemand heeft gepakt voor deze hack dan heeft het er toch echt de schijn van dat men weinig interesse heeft om deze mensen op te pakken.

bakuku 7 mei 2019 17:01

“Then his apprentice killed him in his sleep. It's ironic. He could save others from death, but not himself."

- Lord Sidious

mmjjb 7 mei 2019 17:46

"Het feit dat het echter om varianten gaat, laat de mogelijkheid open dat de Shadow Brokers de tools op een andere manier hebben bemachtigd."

Gevalletje google translate?

However, Symantec now says it has found evidence that Buckeye used a variant of DoublePulsar as early as March 2016 in an attack aimed at Hong Kong — that is more than one year before DoublePulsar was leaked by Shadow Brokers.

Buckeye’s DoublePulsar appeared to be newer than the one leaked by Shadow Brokers as it was designed to target newer versions of Windows, including Windows 8.1 and Server 2012 R2.

mutley69 7 mei 2019 20:09

de chinezen hebben de broncode van windows - dus hebben ze de licentievoorwaarden van Microsoft dan niet geschonden? Mogen wij onszelf deze vraag wel stellen?

Verwijderd @mutley69 • 7 mei 2019 20:16

Dus laten we veronderstellen dat Microsoft niet gewoon zelf de broncode met 'de Chinezen' hebben gedeeld voor allerlei reden (zoals geld, bijvoorbeeld), stel, dan, dan mag jij gerust die vraag stellen. Ok.

Alleen. Momenteel vertoeven China en de VS echter in een soort van handelsoorlog.

M.a.w. ... licentievoorwaarden en zo en zo ... so what? (de Chinezen zullen dat misschien nog net in het Engels zeggen, en daar zal het bij ophouden)

Ik bedoel. Je wil zeggen dat 'de Chinezen' met z'n allen naar een Amerikaanse rechtbank zullen gaan om zich te laten veroordelen de licentievoorwaarden van Microsoft te schenden? Terwijl er een handelsoorlog bezig is?

Neuh.

nst6ldr @Verwijderd • 8 mei 2019 07:16

Geen touw aan vast te knopen

Op dit item kan niet meer gereageerd worden.

Symantec: Chinese hackers hebben Shadow Brokers mogelijk aan hacktools geholpen

Lees meer

Reacties (24)

Sorteer op:

Weergave: