El 13 de agosto de 2016, una unidad de piratería autodenominada «The Shadow Brokers» anunció que había robado herramientas de malware y exploits utilizados por Equation Group, un actor de amenazas sofisticado que se cree que está afiliado a la unidad Tailored Access Operations (TAO) de la Agencia de Seguridad Nacional de los Estados Unidos (NSA).
Aunque desde entonces el grupo firmó tras las revelaciones sin precedentes, la nueva evidencia «concluyente» descubierta por Check Point Research muestra que este no fue un incidente aislado, y que otros actores de amenazas pueden haber tenido acceso a algunas de las mismas herramientas antes de que fueran publicadas. .
El robo cibernético previamente no documentado tuvo lugar más de dos años antes del episodio de Shadow Brokers, dijo la compañía de seguridad cibernética estadounidense-israelí en un informe exhaustivo publicado hoy, lo que resultó en que las herramientas cibernéticas desarrolladas en EE. luego los reutilizó para atacar objetivos estadounidenses.
«El exploit capturado en estado salvaje de CVE-2017-0005, un día cero atribuido por Microsoft al APT31 chino (también conocido como Zirconium), es de hecho una réplica de un exploit de Equation Group con nombre en código ‘EpMe'». Los investigadores de Point Eyal Itkin e Itay Cohen dijeron. «APT31 tuvo acceso a los archivos de EpMe, tanto a sus versiones de 32 bits como de 64 bits, más de dos años antes de la filtración de Shadow Brokers».
The Equation Group, así llamado por investigadores de la firma de seguridad cibernética Kaspersky en febrero de 2015, ha sido vinculado a una serie de ataques que afectaron a «decenas de miles de víctimas» desde 2001, con algunos de los servidores de comando y control registrados que datan Volvamos a 1996. Kaspersky llamó al grupo el «creador de la corona del ciberespionaje».
Un exploit de escalada de privilegios desconocido
Revelada por primera vez en marzo de 2017, CVE-2017-0005 es una vulnerabilidad de seguridad en el componente Windows Win32k que podría permitir la elevación de privilegios (EoP) en sistemas que ejecutan Windows XP y hasta Windows 8. La falla fue informada a Microsoft por Lockheed Martin’s Equipo de respuesta a incidentes informáticos.
Check Point nombró a la variante clonada «Jian» en honor a una espada recta de doble filo utilizada en China durante los últimos 2500 años, haciendo referencia a sus orígenes como una herramienta de ataque desarrollada por Equation Group que luego se armó para servir como una «arma de doble filo». espada «para atacar entidades estadounidenses.
 |
| Cronología de los eventos que detallan la historia de EpMe/Jian/CVE-2017-0005 |
Se dice que Jian se replicó en 2014 y se puso en funcionamiento desde al menos 2015 hasta que Microsoft reparó la falla subyacente en 2017.
Se alega que APT31, un colectivo de piratería patrocinado por el estado, realiza operaciones de reconocimiento a instancias del gobierno chino, especializándose en el robo de propiedad intelectual y la recolección de credenciales, con campañas recientes dirigidas al personal electoral de EE. Implante basado en Python alojado en GitHub, que permite a un atacante cargar y descargar archivos, así como ejecutar comandos arbitrarios.
Al afirmar que el marco de trabajo posterior a la explotación de DanderSpritz contenía cuatro módulos EoP de Windows diferentes, dos de los cuales eran de día cero en el momento de su desarrollo en 2013, Check Point dijo que uno de los días cero, denominado «EpMo», fue reparado silenciosamente por Microsoft «sin CVE-ID aparente» en mayo de 2017 en respuesta a la filtración de Shadow Brokers. EpMe fue el otro día cero.
DanderSpritz fue una de las varias herramientas de explotación filtradas por Shadow Breakers el 14 de abril de 2017, en un despacho titulado «Lost in Translation». La filtración es mejor conocida por publicar el exploit EternalBlue que luego impulsaría las infecciones de ransomware WannaCry y NotPetya que causaron daños por valor de decenas de miles de millones de dólares en más de 65 países.
Esta es la primera vez que sale a la luz un nuevo exploit de Equation Group a pesar de que el código fuente de EpMo es de acceso público en GitHub desde la filtración hace casi cuatro años.
Por su parte, EpMo se implementó en máquinas que ejecutan Windows 2000 a Windows Server 2008 R2 mediante la explotación de una vulnerabilidad NULL-Deref en el componente del controlador de impresión en modo de usuario (UMPD) de la interfaz de dispositivo gráfico (GDI).
Superposición de Jian y EpMe
«Además de nuestro análisis de los exploits Equation Group y APT31, el exploit EpMe se alinea perfectamente con los detalles informados en el blog de Microsoft en CVE-2017-0005», señalaron los investigadores. «Y si eso no fuera suficiente, el exploit dejó de funcionar después del parche de Microsoft de marzo de 2017, el parche que abordó dicha vulnerabilidad».
Aparte de esta superposición, se descubrió que tanto EpMe como Jian comparten un diseño de memoria idéntico y las mismas constantes codificadas, lo que da crédito al hecho de que una de las vulnerabilidades probablemente se copió de la otra, o que ambas partes se inspiraron. por un tercero desconocido.
Pero hasta el momento, no hay pistas alusivas a esto último, dijeron los investigadores.
Curiosamente, aunque EpMe no era compatible con Windows 2000, el análisis de Check Point descubrió que Jian tenía «casos especiales» para la plataforma, lo que plantea la posibilidad de que APT31 haya copiado el exploit de Equation Group en algún momento de 2014, antes de modificarlo para adaptarlo a sus necesidades. necesidades y, en última instancia, implementar la nueva versión contra objetivos, incluido posiblemente Lockheed Martin.
Cuando se le solicitó un comentario, un portavoz de Lockheed Martin dijo que «nuestro equipo de seguridad cibernética evalúa rutinariamente el software y las tecnologías de terceros para identificar vulnerabilidades e informarlas responsablemente a los desarrolladores y otras partes interesadas».
Además, una fuente familiarizada con la investigación y los informes cibernéticos de Lockheed Martin le dijo a The Hacker News que la vulnerabilidad de Windows se encontró en la red de un tercero no identificado, y no en su propia cadena de suministro, como parte de los servicios de monitoreo de amenazas que brinda a otros. entidades.
No es la primera vez
Los hallazgos de Check Point no son la primera vez que los piratas informáticos chinos supuestamente han secuestrado el arsenal de exploits de la NSA. En mayo de 2019, Symantec de Broadcom informó que un grupo de piratería chino llamado APT3 (o Buckeye) también había reutilizado una puerta trasera vinculada a la NSA para infiltrarse en los sectores de telecomunicaciones, medios y fabricación.
Pero a diferencia de APT31, el análisis de Symantec señaló que el actor de amenazas puede haber diseñado su propia versión de las herramientas a partir de artefactos encontrados en las comunicaciones de red capturadas, posiblemente como resultado de observar un ataque de Equation Group en acción.
Que Jian, un exploit de día cero previamente atribuido a APT31, sea en realidad una herramienta ciberofensiva creada por Equation Group para la misma vulnerabilidad significa la importancia de la atribución para la toma de decisiones estratégicas y tácticas.
«Aunque ‘Jian’ fue capturado y analizado por Microsoft a principios de 2017, y aunque la filtración de Shadow Brokers expuso las herramientas de Equation Group hace casi cuatro años, todavía se puede aprender mucho del análisis de estos eventos pasados», Cohen dicho.
«El mero hecho de que un módulo de explotación completo, que contenía cuatro exploits diferentes, estuvo pasando desapercibido durante cuatro años en GitHub, nos enseña sobre la enormidad de la fuga en torno a las herramientas de Equation Group».
