Hacker cinesi hanno “clonato” e utilizzato un exploit zero-day di Windows. Rubato dall’Equation Group della NSA, anni prima che la falla dell’escalation dei privilegi fosse corretta.
Lunedì, Check Point Research (CPR) ha affermato che lo strumento è un “clone” del software sviluppato dall’Equation Group della National Security Agency (NSA). Identificato da Kaspersky nel 2015 e descritto come uno dei gruppi di attacchi informatici più sofisticati nel mondo. Pensato per essere attivo almeno dal 2001, Equation Group da allora è stato rincorso dall’unità TAO (Tailored Access Operations) dell’agenzia di intelligence statunitense.
Cosa è successo?
Il gruppo di hacker Shadow Brokers ha rilasciato strumenti e file appartenenti a Equation Group nel 2017. Alcuni dei quali sono utilizzati per sfruttare bug precedentemente sconosciuti in sistemi popolari tra cui Microsoft Windows. Costringendo i fornitori a rilasciare una raffica di patch di emergenza e correzioni per rendere l’exploit inutile. Nello stesso anno, Microsoft ha rilasciato una patch per CVE-2017-0005. Una vulnerabilità zero-day in Windows XP per i sistemi operativi Windows 8 che potrebbe essere utilizzata per l’escalation dei privilegi. Ma potrebbero anche compromettere il sistema.
In origine, si pensava che uno strumento creato per sfruttare CVE-2017-0005 fosse il lavoro di un APT cinese (Advanced Persistent Threat Group ) denominato APT31. Noto anche come zirconio. Tuttavia, Check Point ora afferma che lo strumento, chiamato Jian, era in realtà un clone del software utilizzato da Equation Group. Ed è stato utilizzato attivamente tra il 2014 e il 2017. Anni prima che la vulnerabilità fosse corretta.
Cosa è Jian
Secondo i ricercatori, Jian è un clone di “EpMe”. È stato anche incluso nella fuga di notizie “Lost in Translation” di Shadow Brokers del 2017. È stato “riproposto” per attaccare i cittadini statunitensi.
“Entrambe le versioni di exploit per” Jian “di APT31 o” EpMe “di Equation Group hanno lo scopo di elevare i privilegi dell’aggressore nell’ambiente Windows locale. Lo strumento viene utilizzato dopo che un utente malintenzionato ottiene l’accesso iniziale a un computer di destinazione. Ad esempio tramite vulnerabilità zero clic, e-mail di phishing o qualsiasi altra opzione, per dare all’aggressore i privilegi più elevati disponibili. In modo che possa vagare liberamente e fare quello che vuole sul computer già infetto.
Il team osserva che Lockheed Martin ha segnalato CVE-2017-0005 a Microsoft, che secondo loro è una nota “piuttosto dolente”. Per quanto ne sappiamo, questa è l’unica vulnerabilità che Lockheed Martin ha segnalato negli ultimi anni, afferma Check Point. È possibile che uno dei loro clienti, o anche la stessa Lockheed Martin, sia stata presa di mira da hacker cinesi.
Vediamo come hanno agito gli hacker cinesi
Si ritiene che APT31 abbia ottenuto l’accesso al modulo exploit di Equation Group, sia nella versione a 32 che a 64 bit. Mentre i ricercatori di cybersecurity non possono essere sicuri di come l’exploit sia stato acquisito dall’APT cinese. Potrebbe essere stato catturato durante un attacco di gruppo su un obiettivo cinese. In alternativa, lo strumento potrebbe essere stato rubato mentre Equation Group era presente su una rete monitorata anche da APT31 o durante un attacco diretto da parte di APT31 ai sistemi di Equation Group.
L’indagine su Jian ha anche rivelato un modulo contenente quattro exploit di escalation dei privilegi che facevano parte del framework post-sfruttamento di DanderSpritz di Equation Group. Due degli exploit nel framework, risalenti al 2013, erano difetti zero-day. Uno degli exploit è stato EpMe, mentre un altro, soprannominato “EpMo”, sembra essere stato tranquillamente patchato nel maggio 2017 da Microsoft come soluzione di follow-up in risposta alla fuga di Shadow Brokers ma non è stato assegnato un CVE. I restanti nomi in codice sono EIEi e ErNi.
Questo non è l’unico esempio di un APT cinese che ruba e ripropone gli strumenti di Equation Group. In un altro caso documentato da Symantec nel 2019 , APT3 “Buckeye” è stato collegato ad attacchi utilizzando strumenti di Equation Group nel 2016, prima della fuga di notizie di Shadow Brokers. Mentre Buckeye sembrava dissolversi a metà del 2017, gli strumenti sono stati utilizzati fino al 2018, ma non è noto se siano stati trasmessi o meno, o a chi.
