Vào ngày 13 tháng 8 năm 2016, một đơn vị hack tự xưng “Những người môi giới bóng tối“thông báo rằng họ đã đánh cắp các công cụ và khai thác phần mềm độc hại được sử dụng bởi Equation Group, một tác nhân đe dọa tinh vi được cho là có liên quan đến đơn vị Hoạt động Truy cập Phù hợp (TAO) của Hoa Kỳ cơ quan an ninh Quốc gia (NSA).
Mặc dù nhóm đã ký hợp đồng sau những tiết lộ chưa từng có, nhưng bằng chứng “kết luận” mới được Check Point Research khai quật cho thấy đây không phải là một sự cố cá biệt.
Công ty an ninh mạng Mỹ-Israel cho biết trong một báo cáo đầy đủ được công bố ngày hôm nay, vụ trộm mạng không có giấy tờ trước đây diễn ra hơn hai năm trước tập phim Kẻ môi giới bóng tối, công ty an ninh mạng Mỹ-Israel cho biết trong một báo cáo đầy đủ được công bố ngày hôm nay, dẫn đến việc các công cụ mạng do Mỹ phát triển đã lọt vào tay một mối đe dọa dai dẳng tiên tiến của Trung Quốc. thay thế chúng để tấn công các mục tiêu của Hoa Kỳ.
“Việc khai thác vô tội vạ của CVE-2017-0005, một zero-day do Microsoft gán cho APT31 của Trung Quốc (hay còn gọi là Zirconium), trên thực tế là bản sao của một khai thác thuộc Nhóm phương trình có tên mã ‘EpMe'” Điểm kiểm tra các nhà nghiên cứu Eyal Itkin và Itay Cohen cho biết. “APT31 đã có quyền truy cập vào các tệp của EpMe, cả phiên bản 32-bit và 64-bit, hơn hai năm trước khi Shadow Brokers bị rò rỉ.”
Nhóm Equation, được gọi là bởi các nhà nghiên cứu từ công ty an ninh mạng Kaspersky vào tháng 2 năm 2015, có liên quan đến một chuỗi các cuộc tấn công ảnh hưởng đến “hàng chục nghìn nạn nhân” vào đầu năm 2001, với một số máy chủ điều khiển và lệnh đã đăng ký có niên đại trở lại năm 1996. Kaspersky gọi là nhóm “người tạo vương miện cho hoạt động gián điệp mạng”.
Khai thác nâng cấp đặc quyền không xác định
Được tiết lộ lần đầu tiên vào tháng 3 năm 2017, CVE-2017-0005 là một lỗ hổng bảo mật trong thành phần Windows Win32k có khả năng cho phép nâng cao đặc quyền (EoP) trong các hệ thống chạy Windows XP trở lên Windows 8. Lỗ hổng này là báo cáo cho Microsoft bởi Nhóm ứng phó sự cố máy tính của Lockheed Martin.
Check Point đã đặt tên biến thể nhân bản là “Jian” theo tên một thanh kiếm thẳng hai lưỡi được sử dụng ở Trung Quốc trong suốt 2.500 năm qua, đề cập đến nguồn gốc của nó là một công cụ tấn công được phát triển bởi Equation Group, sau đó đã được vũ khí hóa để phục vụ như một “hai lưỡi kiếm ”để tấn công các thực thể của Hoa Kỳ.
 |
| Dòng thời gian của các sự kiện kể chi tiết câu chuyện của EpMe / Jian / CVE-2017-0005 |
Jian được cho là đã được sao chép vào năm 2014 và đi vào hoạt động ít nhất là từ năm 2015 cho đến khi lỗ hổng cơ bản được Microsoft vá vào năm 2017.
APT31, một tập thể hack do nhà nước bảo trợ, bị cáo buộc tiến hành các hoạt động do thám theo lệnh của Chính phủ Trung Quốc, chuyên đánh cắp tài sản trí tuệ và thu thập thông tin xác thực, với các chiến dịch gần đây nhắm mục tiêu vào các nhân viên bầu cử Hoa Kỳ bằng các email lừa đảo có chứa các liên kết tải xuống bộ cấy dựa trên Python được lưu trữ trên GitHub, cho phép kẻ tấn công tải lên và tải xuống tệp cũng như thực hiện các lệnh tùy ý.
Nói rằng khuôn khổ khai thác sau DanderSosystemz chứa bốn mô-đun Windows EoP khác nhau, hai trong số đó là zero-days tại thời điểm phát triển vào năm 2013, Check Point cho biết một trong những zero-days – được gọi là “EpMo” – đã âm thầm được vá bởi Microsoft “không có CVE-ID rõ ràng” vào tháng 5 năm 2017 để phản ứng với vụ rò rỉ Shadow Brokers. EpMe là zero-day khác.
DanderSosystemz là một trong số những công cụ khai thác bị rò rỉ bởi Shadow Breakers vào ngày 14 tháng 4 năm 2017, theo một công văn có tiêu đề “Lost in Translation.” Rò rỉ được biết đến nhiều nhất vì đã xuất bản Khai thác EternalBlue điều đó sau này sẽ cung cấp năng lượng cho Muốn khóc và NotPetya ransomware nhiễm trùng gây thiệt hại trị giá hàng chục tỷ đô la ở hơn 65 quốc gia.
Đây là lần đầu tiên khai thác Equation Group mới được đưa ra ánh sáng mặc dù mã nguồn của EpMo có thể truy cập công khai trên GitHub kể từ vụ rò rỉ gần bốn năm trước.
Về phần mình, EpMo đã được triển khai trên các máy chạy Windows 2000 đến Windows Server 2008 R2 bằng cách khai thác lỗ hổng NULL-Deref trong Giao diện thiết bị đồ họa (GDI) Thành phần Trình điều khiển In Chế độ Người dùng (UMPD).
Jian và EpMe trùng lặp
Các nhà nghiên cứu lưu ý: “Trên hết phân tích của chúng tôi về cả khai thác Equation Group và APT31, khai thác EpMe phù hợp hoàn hảo với các chi tiết được báo cáo trong blog của Microsoft trên CVE-2017-0005”, các nhà nghiên cứu lưu ý. “Và nếu điều đó vẫn chưa đủ, thì việc khai thác đã thực sự ngừng hoạt động sau bản vá tháng 3 năm 2017 của Microsoft, bản vá giải quyết lỗ hổng nói trên.”
Ngoài sự trùng lặp này, cả EpMe và Jian đã được phát hiện chia sẻ bố cục bộ nhớ giống hệt nhau và cùng các hằng số được mã hóa cứng, cho thấy sự tin cậy về thực tế rằng một trong những khai thác có lẽ đã được sao chép nhiều nhất từ khai thác kia hoặc cả hai bên đều được truyền cảm hứng bởi một bên thứ ba không xác định.
Nhưng cho đến nay, không có manh mối nào ám chỉ đến điều này, các nhà nghiên cứu cho biết.
Điều thú vị là trong khi EpMe không hỗ trợ Windows 2000, phân tích của Check Point đã phát hiện ra Jian có “trường hợp đặc biệt” cho nền tảng này, làm tăng khả năng APT31 đã sao chép khai thác từ Equation Group vào một thời điểm nào đó vào năm 2014, trước khi điều chỉnh nó cho phù hợp với họ. cần và cuối cùng là triển khai phiên bản mới chống lại các mục tiêu, bao gồm cả Lockheed Martin.
Jian đó, một khai thác zero-day trước đây được gán cho APT31, thực sự là một công cụ tấn công mạng do Equation Group tạo ra cho cùng một lỗ hổng cho thấy tầm quan trọng của phân bổ đối với cả việc ra quyết định chiến lược và chiến thuật.
“Mặc dù ‘Jian’ đã bị Microsoft bắt và phân tích vào đầu năm 2017, và mặc dù vụ rò rỉ Shadow Brokers đã tiết lộ các công cụ của Equation Group gần 4 năm trước, vẫn còn rất nhiều điều người ta có thể học được từ việc phân tích những sự kiện trong quá khứ này”, Cohen nói.
“Thực tế đơn thuần là toàn bộ mô-đun khai thác, bao gồm bốn cách khai thác khác nhau, chỉ nằm xung quanh không được chú ý trong bốn năm trên GitHub, dạy chúng ta về mức độ lớn của vụ rò rỉ xung quanh các công cụ của Equation Group.”
