Kineski hakeri koristili hakerske alate američke obaveštajne agencije za napade na američke ciljeve

Vesti, 23.02.2021, 11:00 AM

Kineski hakeri koristili hakerske alate američke obaveštajne agencije za napade na američke ciljeve

Kineski hakeri su “klonirali” i godinama koristili hakerski alat koji su ukrali od američke obaveštajne agencije za napade na Windows sisteme sve dok Microsoft nije objavio ažuriranje za prethodno nepoznatu CVE-2017-0005 ranjivost u Windowsu.

13. avgusta 2016. godine, hakerska grupa koja sebe naziva „Shadow Brokers“ objavila je da je ukrala malvere i hakerske alate koje koristi grupa Equation, za koju se veruje da je povezana sa jedinicom Tailored Access Operations (TAO) američke Agencije za nacionalnu bezbednost (NSA).

Međutim, istraživači američko-izraelske firme za sajber bezbednost Check Point pronašli su dokaze da ovo nije bio izolovan incident, i da je istim alatima pristupao i neko drugi pre nego što ih je grupa Shadow Brokers ukrala od NSA i objavila.

To se dogodilo više od dve godine pre epizode sa Shadow Brokers, navodi se u izveštaju Check Pointa, a američki hakerski alati dospeli su u ruke kineskih hakera koji su ih zatim prilagodili napadima na američke ciljeve.

Tako je na primer 0-day exploit CVE-2017-0005 kojeg je Microsoft pripisao kineskoj APT31 grupi, poznatoj i pod nazivom Cirkonijum, u stvari replika exploita grupe Equation „EpMe“. „APT31 je imala pristup EpMe fajlovima, kako 32-bitnim tako i 64-bitnim verzijama, više od dve godine pre nego što ih je objavila grupa Shadow Brokers“, navodi se u izveštaju.

Grupa Equation, kako su je u februaru 2015. nazvali istraživači iz kompanije Kaspersky, povezana je sa nizom napada u kojima je bilo na „desetine hiljada žrtava“. Grupa je delovala od 2001. godine, a neki od registrovanih servera koje je koristila su iz 1996. godine. Kaspersky je grupu nazvao „krunskim tvorcem sajber špijunaže“.

Exploit CVE-2017-0005 prvi put je primećen u martu 2017. godine, a reč je o exploitu za ranjivost u Win32k komponenti Windowsa, koja omogućava povećanje privilegija na Windows sistemima od Windows XP do Windows 8.

Check Point je kloniranu verziju exploita, za koji do ovog otkrića verovalo da je delo kineske APT31 grupe, nazvao „Jian“ prema dvoseklom ravnom maču koji se vekovima koristio u Kini. Navodno je Jian replika EpMe exploita iz 2014. godine koja je korišćena za napade bar od 2015. godine, sve dok Microsoft nije otkrio ranjivost 2017. godine.

Obe verzije, i Jian i EpMe služe istoj svrsi - napadači ih koriste da dobiju početni pristup računaru. Ovi alati im obezbeđuju najviše dostupne privilegije na sistemu na kom onda mogu da rade “šta god požele”.

Istraživači nisu sigurni kako su kineski hakeri došli do EpMe exploita. Moguće je da se to desilo tokom napada grupe Equation na kinesku metu ili dok je grupa Equation bila prisutna u mreži koju je nadgledala grupa APT31 ili prilikom napada APT31 na sisteme grupe Equation.

APT31 je državna hakerska grupa koja navodno izvodi “izviđačke” napade po nalogu kineske vlade, a specijalizovana je za krađu intelektualnog vlasništva i prikupljanje podataka za prijavu na naloge.

Grupa Shadow Brokers je u aprilu 2017. objavila još hakerskih alata, među kojima je najpoznatiji EternalBlue exploit koji je kasnije iskorišćen za infekcije ransomwarea WannaCry i NotPetya koji su u 65 zemalja prouzrokovali štetu od nekoliko desetina milijardi dolara.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Bajden i Putin na samitu G7 o izručenju optuženih hakera

Bajden i Putin na samitu G7 o izručenju optuženih hakera

Diskusija o izručenju optuženih hakera iz Rusije u SAD mogla bi biti na dnevnom redu ove nedelje kada se američki predsednik Džo Bajden bude sasta... Dalje

Proizvođač igre Cyberpunk 2077 saopštio da njihovi podaci koje su ukrali hakeri kruže internetom

Proizvođač igre Cyberpunk 2077 saopštio da njihovi podaci koje su ukrali hakeri kruže internetom

CD Projekt je saopštio da njihovi interni podaci ukradeni tokom februarskog napada ransomwarea na kompaniju kruže internetom. U februaru ove godine ... Dalje

Hakovan proizvođač video igara Electronic Arts, hakeri ukrali izvorni kod za FIFA 21

Hakovan proizvođač video igara Electronic Arts, hakeri ukrali izvorni kod za FIFA 21

Proizvođač i izdavač video igara, američka kompanija Electronic Arts (EA Games) je hakovan, a takom napada hakeri su ukrali oko 780 GB podataka, o... Dalje

Bajden ukinuo Trampovu zabranu za TikTok i WeChat

Bajden ukinuo Trampovu zabranu za TikTok i WeChat

Američki predsednik Džo Bajden potpisao je juče izvršnu naredbu kojom se ukidaju Trampove zabrane za TikTok i WeChat. Umesto zabrane, Bajden će ... Dalje

Sajber napadi i kolektivna odbrana od ransomwarea biće prioritetna tema samita NATO

Sajber napadi i kolektivna odbrana od ransomwarea biće prioritetna tema samita NATO

Sajber napadi na države članice NATO jedna su od prioritetnih tema o kojima će se razgovarati na samitu NATO sledeće nedelje u Briselu, najavio ... Dalje