дома безопасность Китайские хакеры клонировали инструмент, принадлежащий NSA Equation Group

Китайские хакеры клонировали инструмент, принадлежащий NSA Equation Group

Китайские хакеры "клонировали" и годами использовали уязвимость нулевого дня для Windows, украденную NSA Equation Group, говорят исследователи.

В понедельник компания Check Point Research (CPR) сообщила, что инструмент Jian является «клоном» программного обеспечения, разработанного Equation Group Агентства национальной безопасности США (NSA).

Команда хакеров Shadow Brokers выпустила инструменты и файлы, которые принадлежали Equation Group в 2017 году, некоторые из которых использовались для эксплуатации ошибок в популярных системах, включая Microsoft Windows, - заставляя их поставщики в проблема срочный патч и исправления, делающие инструменты бесполезными.

В том же году Microsoft выпустила патч для CVE-2017-0005, уязвимости нулевого дня, которая могла используемый для масштабирования привилегий и завершения нарушение системы.

Первоначально считалось, что инструмент, созданный для эксплойта CVE-2017-0005, был разработан китайской продвинутой группой APT под названием APT31, также известной как Zirconium.

Уравнение группы

Однако теперь Check Point заявляет, что инструмент под названием Jian на самом деле был клоном программного обеспечения, используемым Equation Group, и активно использовался с 2014 по 2017 год - за годы до того, как уязвимость была исправлена, - и не являлся нестандартная версия китайскими угрожающими агентами.

По мнению исследователей, Цзянь является клоном «EpMe».

Команда APT31, как полагают, получила доступ к модулю эксплойтов Equation Group - 32- и 64-битной версиям - при этом исследователи не уверены, каким образом доступ был получен от китайского APT.

Исследование Jian также выявило модуль, содержащий четыре эксплойта для масштабирования привилегий, который был частью структуры Equation Group DanderSpritz.

Два эксплойта во фреймворке, датируемые 2013 годом, были дефектами нулевого дня. Один из эксплойтов был EpMe, а другой, названный «EpMo», похоже, был исправлен с мая 2017 года Microsoft.

График с подробным описанием истории EpMe / Jian / CVE-2017-0005

Это не единственный пример кражи и изменения положения инструментов Equation Group китайским APT. В другом случае, задокументированном Symantec в 2019 году, APT3 «Buckeye» был связан с атаками с использованием инструментов Equation Group в 2016 году, до того, как произошла утечка информации о Shadow Brokers.

Хотя Buckeye, казалось, распускался в середине 2017 года, инструменты использовались до 2018 года, но неизвестно, были ли они переданы другой команде.

Источник информации: zdnet.com

ОСТАВИТЬ ОТВЕТ

Пожалуйста, введите ваш комментарий!
Пожалуйста, введите ваше имя здесь

Teo Ehc
Teo Ehchttps://www.secnews.gr
Будь ограниченным тиражом.

ЖИВЫЕ НОВОСТИ