Kineski hakeri koristili hakerske alate američke obaveštajne agencije za napade na američke ciljeve

Vesti, 23.02.2021, 11:00 AM

Kineski hakeri su “klonirali” i godinama koristili hakerski alat koji su ukrali od američke obaveštajne agencije za napade na Windows sisteme sve dok Microsoft nije objavio ažuriranje za prethodno nepoznatu CVE-2017-0005 ranjivost u Windowsu.

13. avgusta 2016. godine, hakerska grupa koja sebe naziva „Shadow Brokers“ objavila je da je ukrala malvere i hakerske alate koje koristi grupa Equation, za koju se veruje da je povezana sa jedinicom Tailored Access Operations (TAO) američke Agencije za nacionalnu bezbednost (NSA).

Međutim, istraživači američko-izraelske firme za sajber bezbednost Check Point pronašli su dokaze da ovo nije bio izolovan incident, i da je istim alatima pristupao i neko drugi pre nego što ih je grupa Shadow Brokers ukrala od NSA i objavila.

To se dogodilo više od dve godine pre epizode sa Shadow Brokers, navodi se u izveštaju Check Pointa, a američki hakerski alati dospeli su u ruke kineskih hakera koji su ih zatim prilagodili napadima na američke ciljeve.

Tako je na primer 0-day exploit CVE-2017-0005 kojeg je Microsoft pripisao kineskoj APT31 grupi, poznatoj i pod nazivom Cirkonijum, u stvari replika exploita grupe Equation „EpMe“. „APT31 je imala pristup EpMe fajlovima, kako 32-bitnim tako i 64-bitnim verzijama, više od dve godine pre nego što ih je objavila grupa Shadow Brokers“, navodi se u izveštaju.

Grupa Equation, kako su je u februaru 2015. nazvali istraživači iz kompanije Kaspersky, povezana je sa nizom napada u kojima je bilo na „desetine hiljada žrtava“. Grupa je delovala od 2001. godine, a neki od registrovanih servera koje je koristila su iz 1996. godine. Kaspersky je grupu nazvao „krunskim tvorcem sajber špijunaže“.

Exploit CVE-2017-0005 prvi put je primećen u martu 2017. godine, a reč je o exploitu za ranjivost u Win32k komponenti Windowsa, koja omogućava povećanje privilegija na Windows sistemima od Windows XP do Windows 8.

Check Point je kloniranu verziju exploita, za koji do ovog otkrića verovalo da je delo kineske APT31 grupe, nazvao „Jian“ prema dvoseklom ravnom maču koji se vekovima koristio u Kini. Navodno je Jian replika EpMe exploita iz 2014. godine koja je korišćena za napade bar od 2015. godine, sve dok Microsoft nije otkrio ranjivost 2017. godine.

Obe verzije, i Jian i EpMe služe istoj svrsi - napadači ih koriste da dobiju početni pristup računaru. Ovi alati im obezbeđuju najviše dostupne privilegije na sistemu na kom onda mogu da rade “šta god požele”.

Istraživači nisu sigurni kako su kineski hakeri došli do EpMe exploita. Moguće je da se to desilo tokom napada grupe Equation na kinesku metu ili dok je grupa Equation bila prisutna u mreži koju je nadgledala grupa APT31 ili prilikom napada APT31 na sisteme grupe Equation.

APT31 je državna hakerska grupa koja navodno izvodi “izviđačke” napade po nalogu kineske vlade, a specijalizovana je za krađu intelektualnog vlasništva i prikupljanje podataka za prijavu na naloge.

Grupa Shadow Brokers je u aprilu 2017. objavila još hakerskih alata, među kojima je najpoznatiji EternalBlue exploit koji je kasnije iskorišćen za infekcije ransomwarea WannaCry i NotPetya koji su u 65 zemalja prouzrokovali štetu od nekoliko desetina milijardi dolara.