Chińscy hakerzy sklonowali amerykańskie narzędzie cyberofensywne

Amerykańskie firmy mogły być ofiarami eksploitów stworzonych przez NSA. Jak donoszą eksperci Check Point Research, wykryte kilka lat temu chińskie narzędzie hakerskie przyznające uprawnienia w systemach Windows jest najprawdopodobniej klonem oprogramowania „EpMe”, którego autorami byli hakerzy powiązani z NSA

Firma Check Point Research (CPR) ustaliła, że chińscy hakerzy sklonowali i aktywnie wykorzystali narzędzie amerykańskiej jednostki hakerskiej o nazwie Equation Group. Klon programu został uruchomiony przez chińską grupę hakerską APT31 między 2014 a 2017 rokiem - trzy lata przed ujawnieniem grupy.

Narzędzie hakerskie, po raz pierwszy wykryte przez zespół reagowania na incydenty Lockheed Martin, a następnie szczegółowo omówione przez Microsoft w 2017 roku, było zdolne do ataków typu zero-day opartych o uprawnienia, wymierzonych w komputery z systemem Windows XP i Windows 8. Cyberprzestępcy mogliby użyć programu, aby uzyskać najwyższe dostępne przywileje i swobodnie wykorzystywać zainfekowane komputery – w tym instalować programy, przeglądać, zmieniać lub usuwać dane, czy tworzyć nowe konta z pełnymi uprawnieniami administratora. Firma Microsoft załatała lukę wykorzystywaną przez narzędzie, dokumentując jednocześnie poprawkę jako CVE-2017-0005 i przypisując wykorzystywanie podatności chińskiej grupie hakerskiej o nazwie APT31.

Nowe dowody firmy Check Point wskazują jednak, że narzędzie wykorzystywane przez APT31 było jedynie klonem programu o kryptonimie „EpMe”, opracowanego przez amerykańską firmę Equation Group, czyli grupę APT uważaną za jednostkę TAO (Tailored Access Operations) NSA.

Chińska replika – nazwana przez ekspertów “Jian” - działała przez trzy lata do momentu zgłoszenia pierwszych incydentów firmie Microsoft, który załatał podatności swojego systemu. Miało to miejsce tuż przed tym, jak grupa hakerska „Shadow Brokers” publicznie ujawniła szpiegowski kod autorstwa Equation Group (w tym „EpMe ”Exploit CVE-2017-0005).

Oznacza to, że oryginał należący do Equation Group służył amerykańskim agencjom bezpieczeństwa co najmniej kilka miesięcy dłużej. Eksperci Check Pointa zakładają, że przejęcie narzędzia mogło mieć miejsce podczas amerykańskiego ataku na któryś z chińskich podmiotów lub podczas działań Equation w sieciach, które obserwowała chińska grupa hakerów. Nie można wykluczyć również bezpośredniego ataków chińskiego APT31 na Equation Group.

• Mimo że „Jian” został przejęty i przeanalizowany przez Microsoft na początku 2017 r., a Shadow Brokers ujawniło narzędzia Equation Group prawie cztery lata temu, wciąż można się wiele nauczyć z analizy tych przeszłych wydarzeń. Sam fakt, że cały moduł eksploatacyjny, zawierający 4 różne eksploity, leżał niezauważony przez cztery lata na GitHubie, uczy nas o ogromie przecieku wokół narzędzi Equation Group. – mówi Yaniv Balmas, szew działu badań i rozwoju produktów w Check Point.

Atak przeprowadzany za przy pomocny Jian opierały się na trzech fazach: 1) przejęcia komputera z systemem Windows; 2) uzyskaniu najwyższego stopnia uprawnień; 3) instalacji programów typu malware. Należy zaznaczyć, że zarówno Jian jak i EpMe, realizowały faze drugą, polegającą na przyznaniu uprawnień, pozwalających na swobodne wędrowanie i pełną obsługę systemu.

Zasadniczo, nasze badania pokazują, w jaki sposób jedna grupa APT wykorzystuje narzędzia innej grupy APT do swoich własnych operacji, co utrudnia badaczom bezpieczeństwa dokładne przypisywanie ataków. Ukazuje to również jak złożona jest rzeczywistość stojąca za tymi atakami. Mamy nadzieję, że opracowana przez nas technika badawcza śledzenia wykorzystanych luk w zabezpieczeniach może doprowadzić do nowych wniosków, które do tej pory były niedostatecznie analizowane przez branżę bezpieczeństwa – dodaje Balmas.

Czytaj też: Polskie firmy celem trojanów bankowych

Mat. Pras.