dans ,

Des pirates chinois ont utilisé l’exploit de la NSA des années avant la fuite de Shadow Brokers

Les pirates de l’État chinois ont cloné et ont commencé à utiliser un exploit zero-day de la NSA près de trois ans avant que le groupe de hackers Shadow Brokers ne le divulgue publiquement en avril 2017.

EpMe est l’exploit original créé par Equation Group vers 2013 pour un bogue Windows zero-day suivi comme CVE-2017-2005.

La vulnérabilité a été utilisée pour augmenter les privilèges des utilisateurs Windows après avoir accédé à des appareils ciblés, car il s’agit d’un bogue local d’escalade de privilèges (LPE) affectant les appareils exécutant Windows XP jusqu’à Windows 8.

Microsoft a corrigé ce bogue de sécurité en mars 2017 et attribué l’exploitation active au groupe de piratage APT31 soutenu par la Chine.

Volé, cloné et armé

Cependant, APT 31 (également suivi sous le nom de Zirconium) a construit son exploit, surnommé Jian, en reproduisant la fonctionnalité de l’exploit EpMe volé à Equation Group (unité TAO (Tailored Access Operations) de la NSA) comme l’ont révélé les chercheurs de Check Point dans un rapport publié aujourd’hui. .

«À notre grande surprise, nous avons découvert que cet exploit APT31 est en fait une version reconstituée d’un exploit du groupe Equation appelé ‘EpMe’», a déclaré Check Point. « Cela signifie qu’un exploit d’Equation Group a finalement été utilisé par un groupe affilié chinois, probablement contre des cibles américaines. »

Cela a été rendu possible après que les pirates chinois ont capturé des échantillons 32 bits et 64 bits de l’exploit EpMe du groupe Equation.

Une fois répliqué, l’exploit zero-day a été utilisé par APT31 aux côtés d’autres outils de piratage de son arsenal, y compris le packer en plusieurs étapes du groupe.

Microsoft a corrigé la vulnérabilité que Jian a été conçue pour abuser uniquement après que l’IRT de Lockheed Martin a trouvé un échantillon d’exploit dans la nature et l’a partagé avec Microsoft.

Chronologie de Jian
Chronologie de Jian ( Check Point )

Pas le premier exploit NSA volé

Bien que ce ne soit pas le premier cas d’un groupe APT soutenu par la Chine utilisant Equation Group zero-days dans ses attaques, c’est la première fois que les cyberespions chinois ont pu mettre la main sur des échantillons d’exploit et les cloner à leurs propres fins.

«La première a eu lieu lorsque APT3 a utilisé sa propre version d’EternalSynergy (appelée UPSynergy), après l’acquisition de l’exploit Equation Group EternalRomance», a ajouté Check Point.

« Cependant, dans le cas d’UPSynergy, le consensus parmi notre groupe de chercheurs en sécurité ainsi que chez Symantec était que l’exploit chinois a été reconstruit à partir du trafic réseau capturé. »

Comme le dit Check Point, les opérateurs APT31 pourraient mettre la main sur les échantillons d’exploit eux-mêmes dans toutes leurs versions prises en charge puisque Jian a été assemblé à l’aide des versions 32 bits et 64 bits de l’exploit d’Equation Group.

Les hackers APT31 ont ainsi pu obtenir les exemples d’exploit Equation Group de l’une des manières suivantes, selon Check Point:

  • Capturé lors d’une opération réseau Equation Group sur une cible chinoise.
  • Capturé lors d’une opération Equation Group sur un réseau tiers qui a également été surveillé par l’APT chinois.
  • Capturé par l’APT chinois lors d’une attaque contre l’infrastructure du groupe Equation

«Fondamentalement, notre recherche est une démonstration de la façon dont un groupe APT utilise les outils d’un autre groupe APT pour ses propres opérations, ce qui rend plus difficile pour les chercheurs en sécurité de procéder à une attribution précise des attaques et montre à quel point la réalité derrière ces attaques est vraiment complexe. et à quel point nous en savons peu », a déclaré Itay Cohen, chercheur principal en sécurité chez Check Point.

« Nous espérons que notre récente technique de recherche de suivi des vulnérabilités exploitées pourrait conduire à de nouvelles conclusions qui ont été sous-évaluées par l’industrie de la sécurité jusqu’à présent. »

Si vous aimez le contenu et souhaitez soutenir l’amélioration du site,
pensez à apporter votre contribution en cliquant ici s’il vous plaît ! CE N’EST PAS OBLIGATOIRE, MERCI! : ‘)

Qu'est-ce que tu penses?

Écrit par MrBot

Comments

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Loading…

0
Paye moi un café pour mon taf .

Buy me a coffee

La Roumanie vaccine les sans-abri, appartenant à la catégorie « prioritaire »

Comment lutter contre la compromission des e-mails professionnels (BEC) avec l’authentification des e-mails?