Čínští hackeři útočili pomocí naklonovaného amerického nástroje

Check Point Research zjistil, že čínští hackeři naklonovali a aktivně používali kybernetický útočný nástroj americké hackerské jednotky Equation Group. Klon byl použit čínskou hackerskou skupinou APT31 v letech 2014 až 2017, tedy tři roky před odhalením skupiny.

Útočný nástroj byl poprvé odhalen týmem společnosti Lockheed Martin a následně byl analyzován společností Microsoft v roce 2017. Útočníci mohli použít nástroj k získání nejvyšších oprávnění a na infikovaných počítačích dělat prakticky cokoli, například instalovat programy, prohlížet, měnit nebo mazat data nebo vytvářet nové účty s administrátorskými právy.

Microsoft zranitelnost CVE-2017-0005 spojenou s útočným nástrojem opravil a zneužití bylo připsáno čínské hackerské skupině APT31. Nové důkazy však ukazují, že původním zdrojem útočného nástroje souvisejícího se zranitelností nultého dne (CVE-2017-2005) nebyla skupina APT31. Check Point odhalil, že kyberútočný nástroj skupiny APT31 byl ve skutečnosti klonem útočného nástroje s kódovým označením EpMe vyvinutého americkou společností Equation Group. Equation Group je název APT skupiny, která je považována za speciální jednotku TAO (Tailored Access Operations) Národní bezpečnostní agentury (NSA).

Čínská skupina odhalila útočný nástroj skupiny Equation Group a použila ho k vlastním útokům na americké cíle. Výzkumný tým Check Point Research kybernetický útočný nástroj skupiny APT31 pojmenoval Jian po obousečném čínském meči. Používán byl mezi lety 2014 a2017, než byly společností Microsoft vydané příslušné záplaty.

Ovšem ještě několik měsíců před tím hackerská skupina Shadow Brokers zveřejnila špionážní kód Equation Group (včetně nástroje EpMe zneužívajícího zranitelnost CVE-2017-0005), což mělo za následek jedny z nejničivějších kybernetických útoků v historii, včetně WannaCry, který organizacím po celém světě způsobil škody v řádu stovek milionů dolarů a z následků se mnoho společností vzpamatovává doteď.

Typický útok využívající Jian obsahuje tři fáze:

1)      Počáteční napadení cílového počítače se systémem Windows

2)      Eskalace práv na nejvyšší úroveň

3)      Plná instalace malwaru

Jian i EpMe jsou určené pro fázi 2, tedy pro zvyšování oprávnění ve Windows. Nástroj je použit ve chvíli, kdy útočník získá počáteční přístup k cílovému počítači, ať už pomocí zero-click zranitelnosti nebo třeba phishingového e-mailu, a poté poskytne útočníkům nejvyšší oprávnění, takže je možné v ovládnutém počítači dělat prakticky cokoli.

Výzkumný tým společnosti Check Point analyzoval původ nástroje Jian, což vedlo k odhalení nezdokumentované sady exploitů, které byly součástí úniku Shadow Brokers v roce 2017. Čtyři exploity již byly analyzované, ale další dva zatím zůstaly bez povšimnutí:

1)      EpMe – původní zero-day exploit pro CVE-2017-0005

2)      EpMo – exploit v tichosti opravený společností Microsoft

Informace o EpMo nebyly doposud zveřejněné, patch byl implementován společností Microsoft v květnu 2017 bez CVE-ID, pravděpodobně v důsledku úniku Shadow Brokers.

„Rozkrýváme pozadí hrozeb a útočných skupin, takže pak můžeme lépe reagovat na budoucí útoky a dokonce zastavit i dosud neznámé hrozby. Během tohoto konkrétního vyšetřování jsme odhalili dosud neznámé pozadí nástroje Jian skupiny APT31, který se ukázal být klonem nástroje skupiny Equation Group, zneužívajícího stejnou zranitelnost. I když byl Jian odhalen a analyzován na začátku roku 2017 a i když Shadow Brokers zveřejnili nástroje skupiny Equation Group před téměř čtyřmi lety, stále při analýze těchto událostí objevujeme nové informace. Už jen to, že celý exploitační modul ležel bez povšimnutí čtyři roky na GitHubu, ukazuje na závažnost úniku nástrojů skupiny Equation Group,“ říká Tomáš Růžička, SE Team leader v kyberbezpečnostní společnosti Check Point. „Podobné případy, kdy jedna APT skupina používá nástroje jiné APT skupiny pro vlastní operace, ukazují, jak je realita složitá a jak není jednoduché spojit útoky s jednotlivými skupinami a hrozbami. Každý další střípek v mozaice ovšem pomáhá k odhalování budoucích hrozeb.“

Zveřejněno: 26. 02. 2021 | Počet zobrazení: 181x