Čínski hackeri mali prístup k americkému hackerskému nástroju roky predtým, ako ho unikli online

13. augusta 2016 hackerská jednotka, ktorá si hovorí „The Shadow Brokers“, oznámila, že ukradla malvérové ​​nástroje a exploity používané skupinou Equation Group, sofistikovaným aktérom hrozieb, o ktorom sa predpokladá, že je pridružený k jednotke Tailored Access Operations (TAO) Americká národná bezpečnostná agentúra (NSA).

Hoci skupina po bezprecedentných odhaleniach medzičasom podpísala zmluvu, nové „presvedčivé“ dôkazy, ktoré odhalila spoločnosť Check Point Research, ukazujú, že nešlo o izolovaný incident a že iní aktéri hrozieb mohli mať prístup k niektorým z rovnakých nástrojov pred ich zverejnením. .

Predtým nezdokumentovaná kybernetická krádež sa odohrala viac ako dva roky pred epizódou Shadow Brokers, uviedla dnes americko-izraelská spoločnosť zaoberajúca sa kybernetickou bezpečnosťou vo vyčerpávajúcej správe, ktorá viedla k tomu, že kybernetické nástroje vyvinuté v USA sa dostali do rúk čínskej pokročilej pretrvávajúcej hrozby, ktorá potom ich prerobil, aby zasiahol americké ciele.

„Zachytený v divočine CVE-2017-0005, nultý deň, ktorý spoločnosť Microsoft pripisuje čínskemu APT31 (aka zirkónu), je v skutočnosti replikou exploitu Equation Group s kódovým označením ‘EpMe’,“ Check Výskumníci Point Eyal Itkin a Itay Cohen povedali. “APT31 mal prístup k súborom EpMe, ich 32-bitovým aj 64-bitovým verziám, viac ako dva roky pred únikom Shadow Brokers.”

Skupina Equation Group, takzvaná výskumníkmi z kybernetickej bezpečnostnej firmy Kaspersky vo februári 2015, bola spojená so sériou útokov, ktoré postihli „desaťtisíce obetí“, už v roku 2001, pričom niektoré z registrovaných serverov velenia a riadenia sa datovali. späť do roku 1996. Kaspersky túto skupinu nazval „korunným tvorcom kyberšpionáže“.

Neznáme zneužitie eskalácie privilégií

CVE-2017-0005, prvýkrát odhalený v marci 2017, je bezpečnostná chyba v Windows Komponent Win32k, ktorý by mohol potenciálne umožniť zvýšenie oprávnení (EoP) v spustených systémoch Windows XP a viac Windows 8. Chybu oznámil Microsoftu tím pre reakciu na počítačové incidenty spoločnosti Lockheed Martin.

Check Point pomenoval klonovaný variant „Jian“ podľa dvojsečného rovného meča používaného v Číne počas minulého roka 2500 rokov, odkazujúc na svoj pôvod ako útočný nástroj vyvinutý skupinou Equation Group, ktorý bol potom vyzbrojený, aby slúžil ako „dvojsečná zbraň“ na útoky na americké subjekty.

Časová os udalostí s podrobnosťami o príbehu EpMe / Jian / CVE-2017-0005

Hovorí sa, že Jian bol replikovaný v roku 2014 a uvedený do prevádzky najmenej od roku 2015, kým Microsoft v roku 2017 neopravil základnú chybu.

APT31, štátom sponzorovaná hackerská skupina, údajne vykonáva prieskumné operácie na príkaz čínskej vlády, pričom sa špecializuje na krádeže duševného vlastníctva a získavanie poverení, pričom nedávne kampane zamerané na volebný štáb v USA obsahovali e-maily typu spear-phishing, ktoré by stiahli Implantát založený na Pythone hosťovaný na GitHub, ktorý umožňuje útočníkovi nahrávať a sťahovať súbory, ako aj vykonávať ľubovoľné príkazy.

Konštatovanie, že rámec po exploatácii DanderSpritz obsahoval štyri rôzne Windows Moduly EoP, z ktorých dva boli nultými dňami v čase svojho vývoja v roku 2013, Check Point uviedol, že jeden z nultých dní – nazývaný „EpMo“ – bol potichu opravený spoločnosťou Microsoft „bez zjavného CVE-ID“ v máji 2017. v reakcii na únik informácií o Shadow Brokers. EpMe bol druhý nultý deň.

DanderSpritz bol medzi niekoľkými exploitovými nástrojmi, ktoré unikli Shadow Breakers 14. apríla 2017 v rámci správy s názvom „Lost in Translation“. Únik je známy najmä vďaka zverejneniu exploitu EternalBlue, ktorý neskôr poháňa ransomvérové ​​infekcie WannaCry a NotPetya, ktoré spôsobili škody za desiatky miliárd dolárov vo viac ako 65 krajinách.

Toto je prvýkrát, čo sa objavil nový exploit Equation Group napriek tomu, že zdrojový kód EpMo je verejne prístupný na GitHub od úniku pred takmer štyrmi rokmi.

Pokiaľ ide o EpMo, bol nasadený v bežiacich strojoch Windows 2000 až Windows Server 2008 R2 využívaním zraniteľnosti NULL-Deref v komponente UMPD (User Mode Print Driver) rozhrania Graphics Device Interface (GDI).

Jian a EpMe sa prekrývajú

„Okrem našej analýzy exploitov Equation Group a APT31 sa exploit EpMe dokonale zhoduje s podrobnosťami uvedenými v blogu spoločnosti Microsoft na CVE-2017-0005,“ poznamenali výskumníci. “A ak by to nestačilo, exploit skutočne prestal fungovať po oprave Microsoftu z marca 2017, oprave, ktorá riešila uvedenú zraniteľnosť.”

Okrem tohto prekrývania sa zistilo, že EpMe aj Jian zdieľajú identické rozloženie pamäte a rovnaké pevne zakódované konštanty, čo svedčí o tom, že jeden z exploitov bol s najväčšou pravdepodobnosťou skopírovaný od druhého, alebo že obe strany boli inšpirované. neznámou treťou stranou.

Doposiaľ však neexistujú žiadne stopy, ktoré by nasvedčovali tomu druhému, uviedli vedci.

Zaujímavé je, že zatiaľ čo EpMe nepodporoval Windows V roku 2000 analýza spoločnosti Check Point odhalila, že Jian má „špeciálne prípady“ pre platformu, čím sa zvýšila možnosť, že APT31 skopíroval exploit z Equation Group v určitom bode v roku 2014, predtým ako ho upravil tak, aby vyhovoval ich potrebám, a nakoniec nasadil novú verziu proti cieľom. , vrátane možno Lockheed Martin.

Hovorca spoločnosti Lockheed Martin sa vyjadril, že „náš tím pre kybernetickú bezpečnosť bežne hodnotí softvér a technológie tretích strán, aby identifikoval zraniteľné miesta a zodpovedne ich nahlásil vývojárom a iným zainteresovaným stranám“.

Okrem toho zdroj oboznámený s kybernetickým výskumom a správami spoločnosti Lockheed Martin pre The Hacker News povedal, že Windows zraniteľnosť bola zistená v sieti nemenovanej tretej strany – a nie v jej vlastnej sieti alebo v jej dodávateľskom reťazci – ako súčasť služieb monitorovania hrozieb, ktoré poskytuje iným subjektom.

Nie Prvýkrát

Zistenia Check Pointu nie sú prvým prípadom, keď čínski hackeri údajne uniesli arzenál exploitov NSA. V máji 2019 spoločnosť Broadcom Symantec oznámila, že čínska hackerská skupina s názvom APT3 (alebo Buckeye) tiež zmenila účel zadného vrátka spojeného s NSA na infiltráciu telekomunikačných, mediálnych a výrobných sektorov.

Na rozdiel od APT31 však analýza Symantecu poukázala na to, že aktér hrozby mohol skonštruovať svoju vlastnú verziu nástrojov z artefaktov nájdených v zachytených sieťových komunikáciách, potenciálne ako výsledok pozorovania útoku Equation Group v akcii.

To, že Jian, zero-day exploit predtým pripisovaný APT31, je v skutočnosti kybernetickým útočným nástrojom vytvoreným skupinou Equation Group pre rovnakú zraniteľnosť, znamená dôležitosť pripisovania pre strategické aj taktické rozhodovanie.

„Aj keď ‘Jian’ zachytil a analyzoval Microsoft začiatkom roka 2017 a aj keď únik Shadow Brokers odhalil nástroje Equation Group takmer pred štyrmi rokmi, stále sa dá veľa naučiť z analýzy týchto minulých udalostí,“ Cohen povedal.

„Samotná skutočnosť, že celý modul využívania, ktorý obsahuje štyri rôzne exploity, ležal bez povšimnutia štyri roky na GitHub, nás učí o obrovskom úniku okolo nástrojov Equation Group.“