Mnoho lidí si musí pamatovat zveřejnění tajných hackerských nástrojů NSA pod taktovkou hackerské skupiny známé jako Shadow Brokers, která dorazila před něco více než čtyřmi lety. Mezi uniklým softwarem byl nástroj s názvem „EpMe“, který povyšuje oprávnění zranitelného systému Windows na úroveň správce systému a poskytuje vám plnou kontrolu.
Podle zprávy zveřejněno v pondělí Check Point, dlouho před zveřejněním, skupina hackerů přidružený k Pekingu podařilo se mu využít exploit, klonovat ho a použít během let.
V roce 2013 se entita s názvem „Equation Group, obecně známá jako divize NSA, rozhodla vyvinout řadu exploitů, včetně jednoho s názvem„ EpMe “, který zvýší oprávnění zranitelného systému Windows na správce a dá mu plnou kontrolu .
Díky tomu může někdo s přístupem ke stroji ovládat celý systém. V roce 2017 bylo Shadow Brokers online zveřejněno velké množství nástrojů vyvinutých společností Equation Group.
V této době společnost Microsoft zrušila svůj Patch of the Year ve čtvrtek, identifikovala zranitelnost využívanou společností EpMe (CVE-2017-0005) a opravila ji o několik týdnů později.
Je třeba poznamenat, že Lockheed Martin, americká obranná a bezpečnostní společnost, bude první, kdo identifikuje a upozorní Microsoft na tuto chybu, což naznačuje, že by mohla být použita proti americkému cíli.
V polovině roku 2017 společnost Microsoft tiše opravila chybu zabezpečení, kterou EpMe zneužila. A konečně, toto je časová osa příběhu, který jsme měli do vydání zprávy Check Point v pondělí.
Zpráva ve skutečnosti poskytuje důkazy o tom, že se věci nedopadly přesně tak. Společnost zjistila, že skupina čínských hackerů známá jako APT31, také známý jako zirkonium nebo „Judgment Panda“, nějak se mu podařilo získat přístup a používat EpMe.
Zpráva konkrétně odhaduje, že v letech 2014 až 2015 APT31 vyvinul exploit, který Check Point nazval „Jian“, nějakým způsobem klonoval EpMe. Pak bych tento nástroj používal od roku 2015 do března 2017, když Microsoft opravil zranitelnost, na kterou útočil.
To by znamenalo, že APT31 získal přístup k explozi „eskalace privilegií“ EpMe, dlouho před úniky způsobenými Shadow Brokers mezi koncem roku 2016 a začátkem roku 2017. “
Případ EpMe / Jian je jedinečný, protože máme důkazy, že Jian byl vytvořen ze skutečného vzorku exploitu vytvořeného společností Equation Group, “uvedl ve zprávě Check Point. Jak to tedy získali? Po datu, kdy byly vzorky APT31 datovány 3 roky před únikem Shadow Broker, společnost navrhuje, aby skupina Equation Group mohla využívat vzorky pomocí APT31 jedním z následujících způsobů:
zajat během útoku skupiny rovnic na čínský cíl;
zachyceno během operace skupiny rovnic v síti třetí strany, která byla také monitorována APT31;
zajat APT31 během útoku na infrastrukturu skupiny Equation Group.
Osoba obeznámená s touto záležitostí uvedla, že Lockheed Martin, který identifikoval zranitelnost využívanou Jianem v roce 2017, ji objevil v síti neidentifikované třetí strany. Osoba také uvedla, že infikovaná síť nebyla součástí dodavatelského řetězce společnosti Lockheed Martin, ale odmítla sdílet další podrobnosti.
V prohlášení, které reagovalo na vyšetřování společnosti Check Point, společnost Lockheed Martin uvedla, že „pravidelně vyhodnocuje software a technologie třetích stran s cílem identifikovat zranitelná místa a odpovědně je hlásit vývojářům a dalším zúčastněným stranám“.
Pro jeho část, NSA odmítla komentovat zjištění zprávy Check Point. Čínské velvyslanectví ve Washingtonu také neodpovědělo na žádosti o komentář. Objev však přichází, jak někteří odborníci tvrdí, že američtí špióni by měli utrácet více mezer v energii, které najdou v softwaru, než aby vyvíjeli a nasazovali malware, aby jej využili.
Check Point říká, že k tomuto objevu došlo zkoumáním starých nástrojů pro eskalaci privilegií systému Windows za účelem vytvoření „otisků prstů“.
zdroj: https://blog.checkpoint.com