Δευτέρα, 22 Φεβρουαρίου, 15:21
Αρχική security Κινέζοι χάκερ κλωνοποίησαν εργαλείο που ανήκει στο Equation Group της NSA

Κινέζοι χάκερ κλωνοποίησαν εργαλείο που ανήκει στο Equation Group της NSA

Κινέζοι χάκερ “κλωνοποίησαν” και χρησιμοποιούσαν για χρόνια ένα zero-day exploit των Windows που κλάπηκε από το Equation Group της NSA, λένε οι ερευνητές.

Τη Δευτέρα, το Check Point Research (CPR) δήλωσε ότι το εργαλείο Jian ήταν ένας «κλώνος» κάποιου λογισμικού που είχε αναπτυχθεί από το Equation Group της Εθνικής Υπηρεσίας Ασφαλείας των ΗΠΑ (NSA).

Η ομάδα hacking Shadow Brokers κυκλοφόρησε εργαλεία και αρχεία που ανήκαν στο Equation Group το 2017, μερικά από τα οποία χρησιμοποιήθηκαν για το exploit σφαλμάτων σε δημοφιλή συστήματα, συμπεριλαμβανομένων των Microsoft Windows – αναγκάζοντας τους προμηθευτές να εκδώσουν μια επείγουσα ενημέρωση κώδικα και διορθώσεις για να καταστήσουν το εργαλεία άχρηστα.

Την ίδια χρονιά, η Microsoft κυκλοφόρησε μια ενημερωμένη έκδοση κώδικα για το CVE-2017-0005, μια ευπάθεια zero-day που θα μπορούσε να χρησιμοποιηθεί για κλιμάκωση προνομίων και πλήρη παραβίαση του συστήματος.

Αρχικά, θεωρήθηκε ότι ένα εργαλείο που δημιουργήθηκε για το exploit του CVE-2017-0005 ήταν έργο μιας κινεζικής προηγμένης ομάδας APT που ονομάζεται APT31, επίσης γνωστή ως Zirconium.

Equation Group

Ωστόσο, το Check Point λέει τώρα ότι το εργαλείο, που ονομάζεται Jian, ήταν στην πραγματικότητα ένας κλώνος λογισμικού που χρησιμοποιούσε το Equation Group και χρησιμοποιήθηκε ενεργά από το 2014 μέχρι το 2017 – χρόνια πριν από την επιδιόρθωση της ευπάθειας – και δεν ήταν μια προσαρμοσμένη έκδοση από τους Κινέζους απειλητικούς παράγοντες.

Σύμφωνα με τους ερευνητές, το Jian είναι ένας κλώνος του “EpMe”.

Πιστεύεται ότι η ομάδα APT31 είχε αποκτήσει πρόσβαση στο exploit module του Equation Group – εκδόσεις 32- και 64-bit – με τους ερευνητές να μην είναι σίγουροι για το πώς αποκτήθηκε η πρόσβαση από την κινεζική APT.

Η έρευνα για το Jian αποκάλυψε επίσης ένα module που περιέχει τέσσερα exploits κλιμάκωσης προνομίων που ήταν μέρος του framework DanderSpritz του Equation Group.

Δύο από τα exploits στο framework, που χρονολογούνται από το 2013, ήταν ελαττώματα zero-day. Ένα από τα exploits ήταν το EpMe, ενώ ένα άλλο, το οποίο ονομάστηκε “EpMo”, φαίνεται να έχει διορθωθεί από τον Μάιο του 2017 από τη Microsoft.

Χρονοδιάγραμμα που περιγράφει λεπτομερώς την ιστορία του EpMe / Jian / CVE-2017-0005

Αυτό δεν είναι το μόνο παράδειγμα μιας κινεζικής APT που κλέβει και επανατοποθετεί εργαλεία Equation Group. Σε μια άλλη περίπτωση που τεκμηριώθηκε από τη Symantec το 2019, η APT3 “Buckeye” συνδέθηκε με επιθέσεις που χρησιμοποιούσαν εργαλεία Equation Group το 2016, πριν από τη διαρροή των Shadow Brokers.

Ενώ η Buckeye φάνηκε να διαλύεται στα μέσα του 2017, τα εργαλεία χρησιμοποιούνταν έως το 2018 – αλλά δεν είναι γνωστό εάν μεταβιβάστηκαν σε κάποια άλλη ομάδα.

Πηγή πληροφοριών: zdnet.com

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.

LIVE NEWS

Κινέζοι χάκερ κλωνοποίησαν εργαλείο που ανήκει στο Equation Group της NSA

Κινέζοι χάκερ "κλωνοποίησαν" και χρησιμοποιούσαν για χρόνια ένα zero-day exploit των Windows που κλάπηκε από το Equation Group της NSA, λένε οι...

Το Underwriters Laboratories (UL) δέχτηκε επίθεση ransomware

Το UL LLC, γνωστό ως Underwriters Laboratories, υπέστη μια επίθεση ransomware κατά την οποία κρυπτογραφήθηκαν οι servers του και αναγκάστηκε να κλείσει...

Διέρρευσε εικόνα των AirPods τρίτης γενιάς‌ της Apple

Μια εικόνα που ισχυρίζεται ότι απεικονίζει τα AirPods τρίτης γενιάς‌ της Apple, διέρρευσε στο διαδίκτυο. Την εικόνα κοινοποίησε το 52audio. Σε αυτήν...

Kroger: Η παραβίαση δεδομένων εκθέτει δεδομένα υπαλλήλων

Η γιγαντιαία αλυσίδα σούπερ μάρκετ Kroger υπέστη παραβίαση δεδομένων μετά την παραβίαση μιας υπηρεσίας που χρησιμοποιήθηκε για τη μεταφορά αρχείων με ασφάλεια...

Νέο feautre του Chrome για iOS κλειδώνει Incognito καρτέλες με Face ID

Το Google Chrome για iOS αποκτά μια νέα λειτουργία απορρήτου που επιτρέπει στους χρήστες να κλειδώνουν τις ανοιχτές καρτέλες Incognito και να...

Microsoft Outlook για Windows: Μπορείτε να στέλνετε email από aliases

Η Microsoft προσθέτει υποστήριξη για την αποστολή email μέσω διευθύνσεων alias email (επίσης γνωστές ως aliases ή διευθύνσεις proxy) από τον email...

Επιστήμονες μπορούν να επικοινωνούν με ανθρώπους που…ονειρεύονται!

Επιστήμονες βρήκαν τρόπο να επικοινωνήσουν σε πραγματικό χρόνο με ανθρώπους που κοιμούνται και βρίσκονται σε REM κύκλο βλέποντας όνειρα. Μία νέα έρευνα...

30.000 Mac έχουν μολυνθεί με το νέο malware Silver Sparrow

Οι ερευνητές ασφαλείας εντόπισαν ένα νέο malware που στοχεύει συσκευές Mac και έχει μολύνει σχεδόν 30.000 συστήματα. Το malware που ονομάζεται Silver...

Clubhouse: Παραβιάστηκαν συνομιλίες – Ανησυχίες για το απόρρητο

Περίπου μια εβδομάδα μετά την ανακοίνωση της invitation-only chatroom εφαρμογής Clubhouse σχετικά με τη λήψη μέτρων ασφαλείας για την προστασία των δεδομένων...

Lakehead University: Κυβερνοεπίθεση επηρεάζει υπολογιστές κι υπηρεσίες

Το καναδικό ερευνητικό Lakehead University υπέστη κυβερνοεπίθεση που το ανάγκασε την προηγούμενη εβδομάδα να διακόψει την πρόσβαση στους servers του. Οι υπηρεσίες...