Спустя годы после того, как группа хакеров, известных как Shadow Brokers, начала сливать секретные хакерские инструменты АНБ в Интернет, специалисты задумались - может ли какая-либо спецслужба предотвратить попадание своих запасов «нулевого дня» в чужие руки. Эта тема снова на поверхности, и есть доказательства того, что китайские хакеры получили и повторно использовали другой хакерский инструмент АНБ за много лет до того, как Shadow Brokers обнаружили его.
В понедельник охранная фирма Check Point сообщила, что она обнаружила доказательства того, что китайская группа, известная как APT31, также известная как Zirconium или Judgment Panda, каким-то образом получила доступ и использовала инструмент для взлома Windows, известный как EpMe, созданный Equation Group. , название индустрии безопасности для очень искушенных хакеров, которые, по общему мнению, являются частью АНБ. По данным Check Point, китайская группа в 2014 году создала свой собственный инструмент взлома из кода EpMe, датированного 2013 годом. Затем китайские хакеры использовали этот инструмент, который Check Point назвал «Jian» или «обоюдоострый меч» с 2015 года. до марта 2017 года, когда Microsoft исправила уязвимость, которую она атаковала. Это означало бы, что APT31 имеет доступ к инструменту, «повышение привилегий».
Только в начале 2017 года Lockheed Martin обнаружила, что Китай использует хакерскую технику. Поскольку у Lockheed в основном клиенты из США, Check Point предполагает, что взломанный хакерский инструмент мог быть использован против американцев.
Выводы Check Point - не первый случай, когда китайские хакеры, как сообщается, перепрофилируют хакерский инструмент АНБ - или, по крайней мере, хакерскую технику АНБ. В 2018 году Symantec сообщила, что еще одна мощная уязвимость нулевого дня в Windows , использованная в хакерских инструментах АНБ EternalBlue и EternalRomance, также была перепрофилирована китайскими хакерами до того, как их провалили Shadow Brokers. Но в этом случае Symantec отметила, что не похоже, что китайские хакеры действительно получили доступ к вредоносному ПО АНБ. Вместо этого оказалось, что они видели сетевые коммуникации агентства и перепроектировали методы, которые оно использовало для создания своего собственного хакерского инструмента.
Инструмент Jian APT31, напротив, похоже, был создан кем-то, имеющим практический доступ к скомпилированной программе Equation Group, говорят исследователи Check Point, в некоторых случаях дублируя произвольные или нефункциональные части ее кода. «Китайский эксплойт скопировал некоторую часть кода, и в некоторых случаях кажется, что они действительно не понимают, что копируют и что он делает», - говорит исследователь Check Point Итай Коэн.
Хотя Check Point с уверенностью заявляет, что китайская группа взяла свой хакерский инструмент Jian у АНБ, есть некоторая возможность спорить о его происхождении, говорит Джейк Уильямс, основатель Rendition Infosec и бывший хакер АНБ. Он указывает, что Check Point реконструировал историю этого кода, посмотрев на время компиляции, которое могло быть подделано. Там может быть даже отсутствующий, более ранний образец, который показывает, что инструмент был создан китайскими хакерами и был использован АНБ, или даже что он был создан третьей группой хакеров. «Я думаю, что у них есть предвзятость, когда они говорят, что это определенно украдено у АНБ», - говорит Уильямс. «Но чего бы это ни стоило, если бы вы заставили меня вложить деньги в то, у кого они были первым, я бы сказал, что это АНБ».
Check Point сообщает, что не знает, как хакеры APT31, которые совсем недавно оказались в центре внимания в октябре прошлого года, когда Google сообщил, что они нацелились на кампанию тогдашнего кандидата в президенты Джо Байдена , могли бы завладеть хакерским инструментом АНБ. Они предполагают, что китайские хакеры могли захватить вредоносное ПО EpMe из китайской сети, где Equation Group использовала его, со стороннего сервера, на котором Equation Group хранила его для использования против целей без раскрытия их происхождения, или даже из Equation Собственная сеть группы - другими словами, изнутри самого АНБ.
Исследователи говорят, что они сделали свое открытие, копаясь в старых инструментах повышения привилегий Windows, чтобы создать «отпечатки пальцев», которые они могли бы использовать, чтобы отнести эти инструменты к определенным группам. Такой подход помогает лучше идентифицировать происхождение хакеров, обнаруженных в сетях клиентов. В какой-то момент Check Point проверила один из этих отпечатков пальцев, созданных ее исследователями с помощью хакерского инструмента APT31, и с удивлением обнаружила, что он соответствует не китайскому коду, а инструментам Equation Group из утечки Shadow Brokers. «Когда мы получили результаты, мы были в шоке», - говорит Коэн. «Мы увидели, что это был не только тот же эксплойт, но когда мы проанализировали двоичный файл, мы обнаружили, что китайская версия является копией эксплойта Equation Group 2013 года».
Это открытие побудило Check Point более внимательно изучить группу инструментов, в которой EpMe был обнаружен в дампе данных Shadow Brokers. В эту группу входили еще три эксплойта, в двух из которых использовались уязвимости, обнаруженные российской охранной фирмой «Касперский», которые были исправлены Microsoft до выпуска Shadow Brokers. Они также отметили еще один эксплойт под названием EpMo, который мало обсуждался в обществе и был незаметно исправлен Microsoft в мае 2017 года после утечки Shadow Brokers.
Как следует из названия "палки о двух концах" китайской версии перепрофилированного вредоносного ПО АНБ от Check Point, исследователи утверждают, что их результаты должны снова поднять вопрос о том, могут ли спецслужбы безопасно хранить и использовать хакерские инструменты нулевого дня, не рискуя потерять контроль над ними. «Это точное определение обоюдоострого меча», - говорит Балмас. «Может быть, рука слишком быстро нажимает на спусковой крючок. Может, тебе стоит исправить это быстрее. У народов всегда будет нулевой день. Но, возможно, то, как мы с ними справимся… нам, возможно, придется подумать об этом снова».
