Kineski hakeri koristili hakerske alate američke obaveštajne agencije za napade na američke ciljeve

Vesti, 23.02.2021, 11:00 AM

Kineski hakeri koristili hakerske alate američke obaveštajne agencije za napade na američke ciljeve

Kineski hakeri su “klonirali” i godinama koristili hakerski alat koji su ukrali od američke obaveštajne agencije za napade na Windows sisteme sve dok Microsoft nije objavio ažuriranje za prethodno nepoznatu CVE-2017-0005 ranjivost u Windowsu.

13. avgusta 2016. godine, hakerska grupa koja sebe naziva „Shadow Brokers“ objavila je da je ukrala malvere i hakerske alate koje koristi grupa Equation, za koju se veruje da je povezana sa jedinicom Tailored Access Operations (TAO) američke Agencije za nacionalnu bezbednost (NSA).

Međutim, istraživači američko-izraelske firme za sajber bezbednost Check Point pronašli su dokaze da ovo nije bio izolovan incident, i da je istim alatima pristupao i neko drugi pre nego što ih je grupa Shadow Brokers ukrala od NSA i objavila.

To se dogodilo više od dve godine pre epizode sa Shadow Brokers, navodi se u izveštaju Check Pointa, a američki hakerski alati dospeli su u ruke kineskih hakera koji su ih zatim prilagodili napadima na američke ciljeve.

Tako je na primer 0-day exploit CVE-2017-0005 kojeg je Microsoft pripisao kineskoj APT31 grupi, poznatoj i pod nazivom Cirkonijum, u stvari replika exploita grupe Equation „EpMe“. „APT31 je imala pristup EpMe fajlovima, kako 32-bitnim tako i 64-bitnim verzijama, više od dve godine pre nego što ih je objavila grupa Shadow Brokers“, navodi se u izveštaju.

Grupa Equation, kako su je u februaru 2015. nazvali istraživači iz kompanije Kaspersky, povezana je sa nizom napada u kojima je bilo na „desetine hiljada žrtava“. Grupa je delovala od 2001. godine, a neki od registrovanih servera koje je koristila su iz 1996. godine. Kaspersky je grupu nazvao „krunskim tvorcem sajber špijunaže“.

Exploit CVE-2017-0005 prvi put je primećen u martu 2017. godine, a reč je o exploitu za ranjivost u Win32k komponenti Windowsa, koja omogućava povećanje privilegija na Windows sistemima od Windows XP do Windows 8.

Check Point je kloniranu verziju exploita, za koji do ovog otkrića verovalo da je delo kineske APT31 grupe, nazvao „Jian“ prema dvoseklom ravnom maču koji se vekovima koristio u Kini. Navodno je Jian replika EpMe exploita iz 2014. godine koja je korišćena za napade bar od 2015. godine, sve dok Microsoft nije otkrio ranjivost 2017. godine.

Obe verzije, i Jian i EpMe služe istoj svrsi - napadači ih koriste da dobiju početni pristup računaru. Ovi alati im obezbeđuju najviše dostupne privilegije na sistemu na kom onda mogu da rade “šta god požele”.

Istraživači nisu sigurni kako su kineski hakeri došli do EpMe exploita. Moguće je da se to desilo tokom napada grupe Equation na kinesku metu ili dok je grupa Equation bila prisutna u mreži koju je nadgledala grupa APT31 ili prilikom napada APT31 na sisteme grupe Equation.

APT31 je državna hakerska grupa koja navodno izvodi “izviđačke” napade po nalogu kineske vlade, a specijalizovana je za krađu intelektualnog vlasništva i prikupljanje podataka za prijavu na naloge.

Grupa Shadow Brokers je u aprilu 2017. objavila još hakerskih alata, među kojima je najpoznatiji EternalBlue exploit koji je kasnije iskorišćen za infekcije ransomwarea WannaCry i NotPetya koji su u 65 zemalja prouzrokovali štetu od nekoliko desetina milijardi dolara.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Vlasnik Facebooka i WhatsAppa koristi konkurentsku aplikaciju Signal: ''Zakerberg poštuje svoju privatnost''

Vlasnik Facebooka i WhatsAppa koristi konkurentsku aplikaciju Signal: ''Zakerberg poštuje svoju privatnost''

Curenje podataka 533 miliona korisnika Facebooka otkrilo je tajnu izvršnog direktora i suosnivača Facebooka Marka Zakerberga, koji je vlasnik WhatsA... Dalje

Booking.com kažnjen zbog toga što je više od 3 nedelje ćutao o krađi podataka korisnika

Booking.com kažnjen zbog toga što je više od 3 nedelje ćutao o krađi podataka korisnika

Holandska agencija za zaštitu podataka kaznila je Booking.com sa 475.000 evra zato što je prekasno obavestio korisnike da su kriminalci pristupili p... Dalje

Opasni malver sakriven u varalicama za igre

Opasni malver sakriven u varalicama za igre

Gejmeri oprez! Hakeri su sakrili malver u varalice za video igre koji bi im mogao omogućiti da hakuju mikrofone ili veb kamere žrtava, upozorili su... Dalje

Danas je Svetski dan backupa

Danas je Svetski dan backupa

U savremenom svetu sve se vrti oko podataka. Danas je Svetski dan backupa koji se obeležava od 2011. godine kao podsećanje za sve o važnosti kopija... Dalje

Hakeri posle napada ucenjuju zaposlene u kompanijama: ''Imamo vašu porno kolekciju''

Hakeri posle napada ucenjuju zaposlene u kompanijama: ''Imamo vašu porno kolekciju''

Stručnjaci za sajber bezbednost upozoravaju na porast takozvanog “extortionwarea”, odnosno na hakere koji prete žrtvama da će ih osramo... Dalje