许多人必须记住NSA秘密黑客工具的披露 黑客组织由称为Shadow Brokers的黑客组织精心策划,该组织于XNUMX年前才成立。 在泄漏的软件中,有一个名为“ EpMe”的工具,该工具可将易受攻击的Windows系统的特权提升到系统管理员级别,从而使您拥有完全的控制权。
据报道 星期一发布 由Check Point披露,很久以前, 一群黑客 隶属于北京 设法获得了利用,将其克隆并使用 在几年中。
2013年,一个名为“ Equation Group”的实体(广泛称为NSA的一个部门)着手开发一系列漏洞,包括一个名为“ EpMe”的漏洞,该漏洞将易受攻击的Windows系统的特权提升给管理员,从而完全控制。
这使有权访问机器的人可以控制整个系统。 2017年,Shadow Brokers在线披露了Equation Group开发的大量工具。
大约在这个时候,微软取消了年度最佳2017月星期四补丁程序,确定了EpMe(CVE-0005-XNUMX)利用的漏洞,并在几周后修复了该漏洞。
应当指出的是,美国国防和安全公司洛克希德·马丁公司将率先发现并提醒微软注意该漏洞,这表明该漏洞可用于美国的目标。
2017年中,Microsoft悄悄修补了EpMe利用的漏洞。 最后,这是我们在周一发布Check Point报告之前的故事时间表。
实际上,该报告提供了证明事实并非如此的证据。 该公司发现了一群被称为“中国黑客”的中国黑客。 APT31,也称为锆 或《审判熊猫》, 他以某种方式设法访问和使用了EpMe。
具体而言,该报告估计,2014年至2015年, APT31开发了一个漏洞利用程序 其中Check Point称为“ Jian”,以某种方式克隆了EpMe。 然后我会在2015年至2017年XNUMX月期间使用此工具, 当Microsoft修复了它正在攻击的漏洞时。
这意味着APT31在2016年底至2017年初由Shadow Brokers造成的泄密之前就已经获得了“特权升级”漏洞EpMe的使用权。”
EpMe / Jian案是独特的,因为我们有证据表明,Jian是由Equation Group创建的漏洞利用的实际样本创建的,” Check Point在报告中说。 那么他们是怎么得到的呢? 在Shadow Broker泄漏发生前31年对APT3样本进行了日期标注,该公司建议,方程组(Aquation Group)的利用样本可以由APT31以下列方式之一获取:
在对中国目标的方程组攻击中捕获的;
在由APT31监视的第三方网络上的方程组操作期间捕获的数据;
在对Equation Group基础设施的攻击中被APT31捕获。
一位知情人士说,洛克希德·马丁(Lockheed Martin)在2017年发现了剑所利用的漏洞,并在一个身份不明的第三方网络上发现了该漏洞。 该人士还说,受感染的网络不是洛克希德·马丁公司供应链的一部分,但拒绝透露更多细节。
在对Check Point调查的回应中,洛克希德·马丁公司在一份声明中说,它“定期评估第三方软件和技术,以识别漏洞,并以负责任的方式将其报告给开发人员和其他利益相关者。”
就其本身而言, 国家安全局拒绝对Check Point报告的调查结果发表评论。 此外,中国驻华盛顿大使馆也未回应置评请求。 然而,这一发现之所以出现,是因为一些专家表示,美国间谍应该花费更多的精力来解决他们在软件中发现的漏洞,而不是开发和部署恶意软件来利用它。
Check Point表示,它是通过研究旧的Windows特权升级工具来创建“指纹”而发现的。
数据来源: https://blog.checkpoint.com