Beaucoup doivent se souvenir de la divulgation des outils de piratage secrets de la NSA orchestré par le groupe de piratage connu sous le nom de Shadow Brokers, arrivé il y a un peu plus de quatre ans. Parmi les logiciels divulgués, il y avait un outil appelé «EpMe», qui élève les privilèges d'un système Windows vulnérable au niveau d'administrateur système, vous donnant un contrôle total.
Selon un rapport posté le lundi par Check Point, bien avant la divulgation, un groupe de hackers affilié à Pékin avait réussi à mettre la main sur l'exploit, à le cloner et à l'utiliser pendant des années.
En 2013, une entité appelée "Equation Group, largement connue sous le nom de division de la NSA, a entrepris de développer une série d'exploits, dont un appelé" EpMe "qui élève les privilèges d'un système Windows vulnérable à l'administrateur, lui donnant un contrôle total. .
Cela permet à une personne ayant accès à une machine de contrôler l'ensemble du système. En 2017, un grand nombre d'outils développés par Equation Group ont été divulgués en ligne par Shadow Brokers.
À peu près à la même époque, Microsoft a annulé son patch de l'année du jeudi février, identifié la vulnérabilité exploitée par EpMe (CVE-2017-0005) et l'a corrigée quelques semaines plus tard.
Il est à noter que Lockheed Martin, la société américaine de défense et de sécurité, serait la première à identifier et alerter Microsoft de cette faille, suggérant qu'elle pourrait être utilisée contre une cible américaine.
À la mi-2017, Microsoft a discrètement corrigé la vulnérabilité exploitée par EpMe. Enfin, voici la chronologie de l'histoire que nous avions jusqu'à la publication du rapport Check Point lundi.
En fait, le rapport prouve que les choses ne se sont pas passées exactement de cette façon. La société a découvert qu'un groupe de pirates chinois connus sous le nom de APT31, également connu sous le nom de zirconium ou «Judgment Panda», d'une manière ou d'une autre, il avait réussi à accéder et à utiliser EpMe.
Plus précisément, le rapport estime qu'entre 2014 et 2015, APT31 a développé un exploit, quel Check Point a appelé "Jian", clonant en quelque sorte EpMe. Ensuite, j'aurais utilisé cet outil de 2015 à mars 2017, lorsque Microsoft a corrigé la vulnérabilité qu'il attaquait.
Cela signifierait qu'APT31 a eu accès à EpMe, un exploit 'd'escalade de privilèges', bien avant les fuites causées par Shadow Brokers entre fin 2016 et début 2017. "
Le cas EpMe / Jian est unique car nous avons la preuve que Jian a été créé à partir de l'échantillon réel de l'exploit créé par Equation Group », a déclaré Check Point dans le rapport. Alors, comment l'ont-ils obtenu? Après avoir daté les échantillons APT31 3 ans avant la fuite de Shadow Broker, la société suggère que les échantillons d'exploit d'Equation Group auraient pu être acquis par APT31 de l'une des manières suivantes:
capturé lors d'une attaque du groupe d'équation sur une cible chinoise;
capturé lors d'une opération Equation Group sur un réseau tiers qui a également été surveillé par APT31;
capturé par APT31 lors d'une attaque contre l'infrastructure d'Equation Group.
Une personne proche du dossier a déclaré que Lockheed Martin, qui avait identifié la vulnérabilité exploitée par Jian en 2017, l'avait découverte sur le réseau d'un tiers non identifié. La personne a également déclaré que le réseau infecté ne faisait pas partie de la chaîne d'approvisionnement de Lockheed Martin, mais a refusé de partager plus de détails.
Dans un communiqué, répondant à l'enquête de Check Point, Lockheed Martin a déclaré qu'il "évalue régulièrement les logiciels et technologies tiers pour identifier les vulnérabilités et les signaler de manière responsable aux développeurs et autres parties prenantes".
Pour sa part, la NSA a refusé de commenter les conclusions du rapport de Check Point. De plus, l'ambassade de Chine à Washington n'a pas répondu aux demandes de commentaires. Cependant, la découverte intervient alors que certains experts disent que les espions américains devraient dépenser plus d'énergie pour corriger les failles qu'ils trouvent dans les logiciels plutôt que de développer et de déployer des logiciels malveillants pour les exploiter.
Check Point affirme avoir fait cette découverte en recherchant d'anciens outils d'escalade de privilèges Windows pour créer des «empreintes digitales».
source: https://blog.checkpoint.com