Многие должны помнить о раскрытии секретных хакерских инструментов АНБ. организована хакерской группой, известной как Shadow Brokers, которая появилась чуть более четырех лет назад. Среди просочившихся программ был инструмент под названием «EpMe», который повышает права уязвимой системы Windows до уровня системного администратора, предоставляя вам полный контроль.
Согласно отчету опубликовано в понедельник компанией Check Point, задолго до раскрытия информации, группа хакеров связан с Пекином удалось заполучить эксплойт, клонировать его и использовать в течение многих лет.
В 2013 году организация под названием Equation Group, широко известная как подразделение АНБ, намеревалась разработать серию эксплойтов, в том числе один под названием «EpMe», который повышает привилегии уязвимой системы Windows до администратора, предоставляя ему полный контроль. .
Это позволяет человеку, имеющему доступ к машине, управлять всей системой. В 2017 году Shadow Brokers опубликовала большое количество инструментов, разработанных Equation Group.
Примерно в это же время Microsoft отменила свое обновление года в четверг, февраль, выявила уязвимость, использованную EpMe (CVE-2017-0005), и исправила ее несколько недель спустя.
Следует отметить, что Lockheed Martin, американская компания по обороне и безопасности, будет первой, кто обнаружит и предупредит Microsoft об этом недостатке, предположив, что он может быть использован против цели в США.
В середине 2017 года Microsoft незаметно исправила уязвимость, использованную EpMe. Наконец, это хронология истории, которая у нас была до публикации отчета Check Point в понедельник.
Фактически, в отчете приводятся доказательства того, что все произошло не так. Компания обнаружила, что группа китайских хакеров, известная как APT31, также известный как цирконий или «Правосудие Панды», каким-то образом ему удалось получить доступ и использовать EpMe.
В частности, в отчете оценивается, что в период с 2014 по 2015 гг. APT31 разработал эксплойт, который Check Point назвал "Jian", каким-то образом клонировав EpMe. Тогда я бы использовал этот инструмент с 2015 по март 2017 года, когда Microsoft исправила уязвимость, которую атаковала.
Это означало бы, что APT31 получил доступ к EpMe, эксплойту «повышения привилегий», задолго до утечек, вызванных Shadow Brokers в период с конца 2016 по начало 2017 года ».
Случай EpMe / Jian уникален, потому что у нас есть доказательства того, что Jian был создан на основе фактического образца эксплойта, созданного Equation Group », - говорится в отчете Check Point. Так как они это получили? Датировав образцы APT31 за 3 года до утечки Shadow Broker, компания предполагает, что образцы эксплойтов Equation Group могли быть получены APT31 одним из следующих способов:
захвачен во время атаки Equation Group на китайскую цель;
захвачено во время работы Equation Group в сторонней сети, которая также контролировалась APT31;
захвачен APT31 во время атаки на инфраструктуру Equation Group.
Человек, знакомый с этим вопросом, сказал, что Lockheed Martin, идентифицировавший уязвимость, использованную Цзяном в 2017 году, обнаружил ее в сети неустановленной третьей стороны. Этот человек также сказал, что зараженная сеть не является частью цепочки поставок Lockheed Martin, но отказался сообщить подробности.
В своем заявлении, отвечая на расследование Check Point, Lockheed Martin сообщила, что «регулярно оценивает стороннее программное обеспечение и технологии для выявления уязвимостей и ответственно сообщает о них разработчикам и другим заинтересованным сторонам».
Со своей стороны, АНБ отказалось комментировать выводы отчета Check Point. Также посольство Китая в Вашингтоне не ответило на запросы о комментариях. Тем не менее, это открытие связано с тем, что некоторые эксперты говорят, что американские шпионы должны тратить больше энергии на устранение лазеек, которые они находят в программном обеспечении, а не на разработку и развертывание вредоносного ПО для его использования.
Check Point заявляет, что сделала это открытие, изучив старые инструменты повышения привилегий Windows для создания «отпечатков пальцев».
источник: https://blog.checkpoint.com