Kineski hakeri koristili hakerske alate američke obaveštajne agencije za napade na američke ciljeve

Vesti, 23.02.2021, 11:00 AM

Kineski hakeri koristili hakerske alate američke obaveštajne agencije za napade na američke ciljeve

Kineski hakeri su “klonirali” i godinama koristili hakerski alat koji su ukrali od američke obaveštajne agencije za napade na Windows sisteme sve dok Microsoft nije objavio ažuriranje za prethodno nepoznatu CVE-2017-0005 ranjivost u Windowsu.

13. avgusta 2016. godine, hakerska grupa koja sebe naziva „Shadow Brokers“ objavila je da je ukrala malvere i hakerske alate koje koristi grupa Equation, za koju se veruje da je povezana sa jedinicom Tailored Access Operations (TAO) američke Agencije za nacionalnu bezbednost (NSA).

Međutim, istraživači američko-izraelske firme za sajber bezbednost Check Point pronašli su dokaze da ovo nije bio izolovan incident, i da je istim alatima pristupao i neko drugi pre nego što ih je grupa Shadow Brokers ukrala od NSA i objavila.

To se dogodilo više od dve godine pre epizode sa Shadow Brokers, navodi se u izveštaju Check Pointa, a američki hakerski alati dospeli su u ruke kineskih hakera koji su ih zatim prilagodili napadima na američke ciljeve.

Tako je na primer 0-day exploit CVE-2017-0005 kojeg je Microsoft pripisao kineskoj APT31 grupi, poznatoj i pod nazivom Cirkonijum, u stvari replika exploita grupe Equation „EpMe“. „APT31 je imala pristup EpMe fajlovima, kako 32-bitnim tako i 64-bitnim verzijama, više od dve godine pre nego što ih je objavila grupa Shadow Brokers“, navodi se u izveštaju.

Grupa Equation, kako su je u februaru 2015. nazvali istraživači iz kompanije Kaspersky, povezana je sa nizom napada u kojima je bilo na „desetine hiljada žrtava“. Grupa je delovala od 2001. godine, a neki od registrovanih servera koje je koristila su iz 1996. godine. Kaspersky je grupu nazvao „krunskim tvorcem sajber špijunaže“.

Exploit CVE-2017-0005 prvi put je primećen u martu 2017. godine, a reč je o exploitu za ranjivost u Win32k komponenti Windowsa, koja omogućava povećanje privilegija na Windows sistemima od Windows XP do Windows 8.

Check Point je kloniranu verziju exploita, za koji do ovog otkrića verovalo da je delo kineske APT31 grupe, nazvao „Jian“ prema dvoseklom ravnom maču koji se vekovima koristio u Kini. Navodno je Jian replika EpMe exploita iz 2014. godine koja je korišćena za napade bar od 2015. godine, sve dok Microsoft nije otkrio ranjivost 2017. godine.

Obe verzije, i Jian i EpMe služe istoj svrsi - napadači ih koriste da dobiju početni pristup računaru. Ovi alati im obezbeđuju najviše dostupne privilegije na sistemu na kom onda mogu da rade “šta god požele”.

Istraživači nisu sigurni kako su kineski hakeri došli do EpMe exploita. Moguće je da se to desilo tokom napada grupe Equation na kinesku metu ili dok je grupa Equation bila prisutna u mreži koju je nadgledala grupa APT31 ili prilikom napada APT31 na sisteme grupe Equation.

APT31 je državna hakerska grupa koja navodno izvodi “izviđačke” napade po nalogu kineske vlade, a specijalizovana je za krađu intelektualnog vlasništva i prikupljanje podataka za prijavu na naloge.

Grupa Shadow Brokers je u aprilu 2017. objavila još hakerskih alata, među kojima je najpoznatiji EternalBlue exploit koji je kasnije iskorišćen za infekcije ransomwarea WannaCry i NotPetya koji su u 65 zemalja prouzrokovali štetu od nekoliko desetina milijardi dolara.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Korisnici iPhonea mete napada upitima za resetovanje lozinke

Korisnici iPhonea mete napada upitima za resetovanje lozinke

Sofisticirana phishing kampanja koja cilja korisnike iPhonea poslednjih meseci ukazala je na slabost u Appleovom mehanizmu za resetovanje lozinke. Pre... Dalje

Mobi Banka upozorava na pokušaje prevare na društvenim mrežama

Mobi Banka upozorava na pokušaje prevare na društvenim mrežama

Mobi Banka je upozorila korisnike da su se na društvenim mrežama pojavili lažni profili koji koriste ime i logo Mobi Banke i pozivaju korisnike da,... Dalje

Googleova AI pretraga preporučuje korisnicima opasne sajtove i prevare

Googleova AI pretraga preporučuje korisnicima opasne sajtove i prevare

Ranije ovog meseca, Google je počeo da uvodi novu funkciju pod nazivom Google Search Generative Experience (SGE) u rezultate pretrage, koja pruža br... Dalje

Lažne ponude popularnog leka Ozempic preplavile internet, stručnjaci upozoravaju na fišing prevare

Lažne ponude popularnog leka Ozempic preplavile internet, stručnjaci upozoravaju na fišing prevare

Stručnjaci kompanije Kaspersky upozorili su na alarmantan trend pojave fišing stranica koje se predstavljaju kao sajtovi legitimnih prodavaca koji n... Dalje

Uvedene sankcije protiv tri berze kriptovaluta zbog pomoći Rusiji

Uvedene sankcije protiv tri berze kriptovaluta zbog pomoći Rusiji

Kancelarija za kontrolu strane imovine američkog Ministarstva finansija (OFAC) sankcionisala je tri berze kriptovaluta zbog nuđenja usluga koje se k... Dalje