Čínští hackeři útočili pomocí naklonovaného amerického nástroje
Check Point Research zjistil, že čínští hackeři naklonovali a aktivně používali kybernetický útočný nástroj americké hackerské jednotky Equation Group. Klon byl použit čínskou hackerskou skupinou APT31 v letech 2014 až 2017, tedy tři roky před odhalením skupiny.
Útočný nástroj byl poprvé odhalen týmem společnosti Lockheed Martin a následně
byl analyzován
společností Microsoft v roce 2017. Útočníci mohli použít nástroj k
získání nejvyšších oprávnění a na infikovaných počítačích dělat prakticky cokoli,
například instalovat programy, prohlížet, měnit nebo mazat data nebo vytvářet
nové účty s administrátorskými právy.
Microsoft zranitelnost CVE-2017-0005
spojenou s útočným nástrojem opravil a zneužití bylo připsáno čínské hackerské
skupině APT31. Nové důkazy však ukazují, že původním zdrojem útočného nástroje souvisejícího
se zranitelností nultého dne (CVE-2017-2005) nebyla skupina APT31. Check Point
odhalil, že kyberútočný nástroj skupiny APT31 byl ve skutečnosti klonem
útočného nástroje s kódovým označením EpMe vyvinutého americkou společností
Equation Group. Equation Group je název APT skupiny, která je považována za speciální
jednotku TAO (Tailored Access Operations) Národní bezpečnostní agentury (NSA).
Čínská skupina odhalila útočný nástroj skupiny Equation Group a použila ho
k vlastním útokům na americké cíle. Výzkumný tým Check Point Research kybernetický
útočný nástroj skupiny APT31 pojmenoval Jian po obousečném čínském meči. Používán
byl mezi lety 2014 a2017, než byly společností Microsoft vydané příslušné
záplaty.
Ovšem ještě několik měsíců před tím hackerská skupina Shadow Brokers zveřejnila
špionážní kód Equation Group (včetně nástroje EpMe zneužívajícího zranitelnost
CVE-2017-0005), což mělo za následek jedny z nejničivějších kybernetických
útoků v historii, včetně WannaCry, který organizacím po celém světě
způsobil škody v řádu stovek milionů dolarů a z následků se mnoho
společností vzpamatovává doteď.
Typický útok využívající Jian obsahuje tři fáze:
1) Počáteční napadení cílového počítače se systémem
Windows
2) Eskalace práv na nejvyšší úroveň
3) Plná instalace malwaru
Jian i EpMe jsou určené pro fázi 2, tedy pro zvyšování oprávnění ve
Windows. Nástroj je použit ve chvíli, kdy útočník získá počáteční přístup k
cílovému počítači, ať už pomocí zero-click zranitelnosti nebo třeba
phishingového e-mailu, a poté poskytne útočníkům nejvyšší oprávnění, takže je
možné v ovládnutém počítači dělat prakticky cokoli.
Výzkumný tým společnosti Check Point analyzoval původ nástroje Jian, což
vedlo k odhalení nezdokumentované sady exploitů, které byly součástí úniku
Shadow Brokers v roce 2017. Čtyři exploity již byly analyzované, ale další dva zatím
zůstaly bez povšimnutí:
1) EpMe – původní zero-day exploit pro CVE-2017-0005
2) EpMo – exploit v tichosti opravený společností Microsoft
Informace o EpMo nebyly doposud zveřejněné, patch byl implementován
společností Microsoft v květnu 2017 bez CVE-ID, pravděpodobně v důsledku úniku
Shadow Brokers.
„Rozkrýváme pozadí hrozeb a útočných skupin, takže pak můžeme lépe
reagovat na budoucí útoky a dokonce zastavit i dosud neznámé hrozby. Během
tohoto konkrétního vyšetřování jsme odhalili dosud neznámé pozadí nástroje Jian
skupiny APT31, který se ukázal být klonem nástroje skupiny Equation Group,
zneužívajícího stejnou zranitelnost. I když byl Jian odhalen a analyzován na
začátku roku 2017 a i když Shadow Brokers zveřejnili nástroje skupiny Equation
Group před téměř čtyřmi lety, stále při analýze těchto událostí objevujeme nové
informace. Už jen to, že celý exploitační modul ležel bez povšimnutí čtyři roky
na GitHubu, ukazuje na závažnost úniku nástrojů skupiny Equation Group,“ říká Tomáš Růžička, SE Team leader v
kyberbezpečnostní společnosti Check Point. „Podobné případy, kdy jedna APT skupina
používá nástroje jiné APT skupiny pro vlastní operace, ukazují, jak je realita
složitá a jak není jednoduché spojit útoky s jednotlivými skupinami a
hrozbami. Každý další střípek v mozaice ovšem pomáhá k odhalování budoucích
hrozeb.“
Zveřejněno: 26. 02. 2021
