Hackers chinos utilizaron un exploit de la NSA años antes que Shadow Brokers

Hackers chinos utilizaron un exploit de la NSA años antes de la filtración de Shadow Brokers

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los hackers estatales chinos clonaron y comenzaron a usar un exploit de día cero de la NSA casi tres años antes de que el grupo de hackers Shadow Brokers lo filtrara públicamente en abril de 2017.

EpMe es el exploit original creado por Equation Group alrededor de 2013 para un error de día cero de Windows rastreado como CVE-2017-2005.

La vulnerabilidad se utilizó para aumentar los privilegios de los usuarios de Windows después de obtener acceso a los dispositivos específicos, ya que es un error de escalamiento de privilegios locales (LPE) que afecta a los dispositivos que ejecutan Windows XP hasta Windows 8.

Microsoft corrigió este error de seguridad en marzo de 2017 y atribuyó la explotación activa al grupo de piratería APT31 respaldado por China.

Robado, clonado y armado

Sin embargo, APT 31 (también rastreada como Zirconium) construyó su exploit, apodado Jian, al replicar la funcionalidad del exploit EpMe robado del Equation Group (la unidad Tailored Access Operations (TAO) de la NSA) como revelaron los investigadores de Check Point en un informe publicado hoy.

"Para nuestra sorpresa, descubrimos que este exploit APT31 es de hecho una versión reconstruida de un exploit de Equation Group llamado 'EpMe'", dijo Check Point. "Esto significa que un exploit de Equation Group fue finalmente utilizado por un grupo afiliado a China, probablemente contra objetivos estadounidenses".

Esto fue posible después de que los piratas informáticos del estado chino capturaron muestras de 32 y 64 bits del exploit EpMe de Equation Group.

Una vez replicado, APT31 utilizó el exploit de día cero junto con otras herramientas de piratería en su arsenal, incluido el empaquetador de múltiples etapas del grupo.

Microsoft corrigió la vulnerabilidad de la que Jian estaba diseñado para abusar solo después de que el IRT de Lockheed Martin encontró una muestra de explotación en la naturaleza y la compartió con Microsoft.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

No es el primer exploit robado a la NSA

Si bien este no es el primer caso de un grupo APT respaldado por China que usa los días cero de Equation Group en sus ataques, esta es la primera vez que los ciberespías chinos pudieron tener en sus manos muestras de explotación y clonarlas para sus propios fines.

"La primera fue cuando APT3 usó su propia versión de EternalSynergy (llamada UPSynergy), después de adquirir el exploit Equation Group EternalRomance", agregó Check Point.

"Sin embargo, en el caso de UPSynergy, el consenso entre nuestro grupo de investigadores de seguridad, así como en Symantec, fue que el exploit chino se reconstruyó a partir del tráfico de red capturado".

Como dice Check Point, los operadores APT31 podrían tener en sus manos las muestras de exploits en todas sus versiones compatibles, ya que Jian se ensambló utilizando las versiones de 32 y 64 bits del exploit de Equation Group.

Los piratas informáticos de APT31 pudieron así obtener las muestras de explotación de Equation Group de una de las siguientes formas, según Check Point:

    -Capturado durante una operación de red de Equation Group en un objetivo chino.
    -Capturado durante una operación de Equation Group en una red de terceros que también fue monitoreada por la APT china.
    -Capturado por la APT china durante un ataque a la infraestructura de Equation Group

"Básicamente, nuestra investigación es una demostración de cómo un grupo de APT está utilizando las herramientas de otro grupo de APT para sus propias operaciones, lo que dificulta que los investigadores de seguridad realicen una atribución precisa de los ataques y muestra cuán compleja es realmente la realidad detrás de estos ataques y lo poco que sabemos ", dijo el investigador senior de seguridad de Check Point, Itay Cohen.

"Nuestra esperanza es que nuestra técnica de investigación reciente para rastrear vulnerabilidades explotadas pueda llevar a nuevas conclusiones que la industria de la seguridad ha pasado por alto hasta ahora".

Más Info y pormenores:
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Fuentes:

Check Point Research
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta