Monien on muistettava, että NSA: n salaiset hakkerointityökalut on paljastettu sen on organisoinut hakkerointiryhmä nimeltä Shadow Brokers, joka saapui hieman yli neljä vuotta sitten. Vuodettujen ohjelmistojen joukossa oli EpMe-niminen työkalu, joka nostaa haavoittuvan Windows-järjestelmän oikeudet järjestelmänvalvojan tasolle ja antaa sinulle täyden hallinnan.
Raportin mukaan lähetetty maanantaina Check Point, kauan ennen paljastamista, ryhmä hakkereita sidoksissa Pekingiin oli onnistunut saamaan kätensä hyödyntämään, kloonaamaan sen ja käyttämään sitä vuosien aikana.
Vuonna 2013 yksikkö nimeltä "Equation Group", joka tunnetaan yleisesti NSA: n osastona, pyrki kehittämään joukon hyväksikäyttöjä, mukaan lukien "EpMe", joka nostaa haavoittuvan Windows-järjestelmän oikeudet järjestelmänvalvojalle ja antaa sille täyden hallinnan .
Näin joku, jolla on pääsy koneeseen, voi hallita koko järjestelmää. Vuonna 2017 Shadow Brokers julkisti verkossa suuren määrän Equation Groupin kehittämiä työkaluja.
Noin tuolloin Microsoft peruutti torstain helmikuun vuoden korjaustiedoston, tunnisti EpMen käyttämän haavoittuvuuden (CVE-2017-0005) ja korjasi sen muutama viikko myöhemmin.
On huomattava, että Yhdysvaltain puolustus- ja turvallisuusyhtiö Lockheed Martin tunnistaa ensimmäisenä ja varoittaa Microsoftia tästä virheestä, mikä viittaa siihen, että sitä voitaisiin käyttää Yhdysvaltain kohteisiin.
Vuoden 2017 puolivälissä Microsoft korjasi hiljaa EpMen hyödyntämän haavoittuvuuden. Lopuksi, tämä on tarinan aikajana Check Point -raportin julkaisemiseen maanantaina.
Itse asiassa raportti tarjoaa todisteita siitä, että asiat eivät sujuneet aivan näin. Yritys huomasi, että joukko kiinalaisia hakkereita tunnetaan nimellä APT31, joka tunnetaan myös nimellä zirkonium tai «Judgment Panda», jotenkin hän oli onnistunut pääsemään ja käyttämään EpMea.
Raportissa arvioidaan erityisesti, että vuosina 2014--2015 APT31 kehitti hyödyntämisen, jonka Check Point kutsui "Jianiksi", kloonaamalla EpMe jotenkin. Sitten olisin käyttänyt tätä työkalua vuodesta 2015 maaliskuuhun 2017, kun Microsoft korjasi hyökkäävän haavoittuvuuden.
Tämä tarkoittaisi sitä, että APT31 sai pääsyn EpMe-palveluun, '' etuoikeuden eskalaation '' hyödyntämiseen, kauan ennen Shadow Brokersin aiheuttamia vuotoja vuoden 2016 lopun ja vuoden 2017 alun välillä.
EpMe / Jian-tapaus on ainutlaatuinen, koska meillä on todisteita siitä, että Jian luotiin Equation Groupin luoman todellisen otoksen hyödyntämisestä ”, Check Point kertoi raportissa. Joten miten he saivat sen? Päivätty APT31-näytteistä 3 vuotta ennen Shadow Broker -vuotoa yritys ehdottaa, että APT31 olisi voinut hankkia Equation Group -näytteet yhdellä seuraavista tavoista:
vangittu yhtälöryhmän hyökkäyksessä kiinalaista kohdetta vastaan;
kaapattu yhtälöryhmän operaation aikana kolmannen osapuolen verkossa, jota myös APT31 seurasi;
vangitsi APT31 hyökkäyksen aikana Equation Groupin infrastruktuuriin.
Eräs asiasta perehtynyt henkilö kertoi, että Lockheed Martin, joka tunnisti Jianin vuonna 2017 käyttämän haavoittuvuuden, löysi sen tuntemattoman kolmannen osapuolen verkosta. Henkilö sanoi myös, että tartunnan saanut verkko ei ollut osa Lockheed Martinin toimitusketjua, mutta kieltäytyi jakamasta lisätietoja.
Lockheed Martin sanoi Check Pointin tutkimukseen antamassaan lausunnossa, että se "arvioi säännöllisesti kolmansien osapuolten ohjelmistoja ja tekniikkaa haavoittuvuuksien tunnistamiseksi ja vastuullisesta raportoinnista kehittäjille ja muille sidosryhmille.
Omalta NSA kieltäytyi kommentoimasta Check Point -raportin tuloksia. Kiinan Washingtonin suurlähetystö ei myöskään vastannut kommentointipyyntöihin. Löytö tulee kuitenkin, kun jotkut asiantuntijat sanovat, että amerikkalaisten vakoojien tulisi käyttää enemmän energiaa ohjelmistojen löytämien aukkojen korjaamiseen kuin kehittää ja käyttää haittaohjelmia sen hyödyntämiseksi.
Check Point sanoo, että se teki tämän löydön tutkimalla vanhoja Windows-käyttöoikeuksien eskalointityökaluja "sormenjälkien" luomiseksi.
lähde: https://blog.checkpoint.com