Mnoho ľudí si musí pamätať zverejnenie tajných hackerských nástrojov NSA zorganizovala hackerská skupina známa ako Shadow Brokers, ktorá dorazila pred niečo viac ako štyrmi rokmi. Medzi uniknutým softvérom bol aj nástroj s názvom „EpMe“, ktorý povýši oprávnenie zraniteľného systému Windows na úroveň správcu systému a dá vám úplnú kontrolu.
Podľa správy zverejnené v pondelok Check Point, dlho pred zverejnením, skupina hackerov pridružený k Pekingu sa mu podarilo dostať do rúk exploit, naklonovať ho a použiť počas rokov.
V roku 2013 sa entita s názvom „Equation Group, všeobecne známa ako divízia NSA, rozhodla vyvinúť sériu exploitov, vrátane jedného s názvom„ EpMe “, ktorý povýši oprávnenie zraniteľného systému Windows na administrátora a dá mu plnú kontrolu. .
Toto umožňuje niekomu s prístupom k stroju ovládať celý systém. V roku 2017 spoločnosť Shadow Brokers zverejnila online veľké množstvo nástrojov vyvinutých spoločnosťou Equation Group.
V tomto období spoločnosť Microsoft zrušila Patch of the February vo štvrtok, identifikovala zraniteľnosť využívanú spoločnosťou EpMe (CVE-2017-0005) a o pár týždňov ju opravila.
Je potrebné poznamenať, že spoločnosť Lockheed Martin, americká obranná a bezpečnostná spoločnosť, bude prvou, ktorá identifikuje a upozorní Microsoft na túto chybu, čo naznačuje, že by mohla byť použitá proti cieľu USA.
V polovici roku 2017 spoločnosť Microsoft potichu opravila zraniteľnosť, ktorú využil program EpMe. Napokon, toto je časová os príbehu, ktorý sme mali až do vydania správy Check Point v pondelok.
Správa v skutočnosti poskytuje dôkazy o tom, že všetko sa nedopadlo presne takto. Spoločnosť zistila, že skupina čínskych hackerov známa ako APT31, tiež známy ako zirkónium alebo «Rozsudok Panda», nejako sa mu podarilo získať prístup a používať EpMe.
Správa konkrétne odhaduje, že medzi rokmi 2014 a 2015 APT31 vyvinul exploit, ktorý Check Point nazval „Jian“, nejakým spôsobom klonoval EpMe. Tento nástroj by som potom používal od roku 2015 do marca 2017, keď Microsoft opravil zraniteľnosť, na ktorú útočil.
To by znamenalo, že APT31 získal prístup k zneužitiu „eskalácie privilégií“ EpMe, dávno pred únikmi spôsobenými Shadow Brokers medzi koncom roka 2016 a začiatkom roku 2017. “
Prípad EpMe / Jian je jedinečný, pretože máme dôkazy, že Jian bol vytvorený zo skutočnej vzorky zneužitia vytvoreného spoločnosťou Equation Group, “uviedol v správe Check Point. Ako to teda dosiahli? Po datovaní vzoriek APT31 3 roky pred únikom Shadow Broker spoločnosť naznačuje, že skupina Equation Group mohla vzorky využívať pomocou APT31, a to jedným z nasledujúcich spôsobov:
zajatý počas útoku skupiny rovníc na čínsky cieľ;
zachytené počas operácie skupiny rovníc v sieti tretej strany, ktorú tiež monitoroval APT31;
zajatý APT31 počas útoku na infraštruktúru skupiny Equation Group.
Osoba oboznámená s touto vecou uviedla, že spoločnosť Lockheed Martin, ktorá identifikovala zraniteľnosť zneužitú Jianom v roku 2017, ju objavila v sieti neidentifikovanej tretej strany. Osoba tiež uviedla, že infikovaná sieť nebola súčasťou dodávateľského reťazca spoločnosti Lockheed Martin, odmietla však zdieľať ďalšie podrobnosti.
Spoločnosť Lockheed Martin vo svojom vyhlásení, ktoré reagovalo na vyšetrovanie spoločnosti Check Point, uviedla, že „pravidelne vyhodnocuje softvér a technológie tretích strán s cieľom identifikovať zraniteľné miesta a zodpovedne ich hlásiť vývojárom a ďalším zainteresovaným stranám“.
Pre jeho časť, NSA odmietol komentovať zistenia správy Check Point. Čínske veľvyslanectvo vo Washingtone takisto neodpovedalo na žiadosti o vyjadrenie. Tento objav však prichádza, keď niektorí odborníci tvrdia, že americkí špióni by mali míňať viac energie na medzery, ktoré nájdu v softvéri, ako na vývoj a rozmiestňovanie škodlivého softvéru na jeho zneužitie.
Spoločnosť Check Point tvrdí, že k tomuto objavu došlo výskumom starých nástrojov na eskaláciu privilégií systému Windows s cieľom vytvoriť „odtlačky prstov“.
Fuente: https://blog.checkpoint.com