Herramienta de piratería de la NSA clonada y usada APT31 afiliada a China



APT31 clonó y reutilizó una herramienta de piratería basada en Home windows durante años antes de que Microsoft corrigiera la vulnerabilidad, informan los investigadores.

APT31, un grupo de ataque afiliado a China, copió y usó una herramienta de hackeo de la Agencia de Seguridad Nacional (NSA) años antes de que Microsoft parcheara la vulnerabilidad, informa Look at Level Research.

Los investigadores tienen pruebas que revelan que APT31 pudo acceder y clonar una herramienta de piratería de Windows vinculada al Equation Team, una operación descubierta por Kaspersky en 2015. Se cree que este grupo, descrito como uno de los más avanzados del mundo, ha estado activo desde 2001 o anteriormente y se cree que tiene vínculos con las Operaciones de acceso a medida (TAO) de la NSA.

Tanto la versión estadounidense como la china de la herramienta de piratería explotan CVE-2017-0005, una vulnerabilidad de escalada de privilegios de Windows que se desconocía en ese momento y que anteriormente se atribuía a APT31. El grupo APT ha utilizado su propia versión de la herramienta, que los investigadores llaman «Jian», desde al menos 2015 y hasta Microsoft parcheado la vulnerabilidad en 2017.

Jian fue capturado y reportado a Microsoft por el Equipo de Respuesta a Incidentes Informáticos de Lockheed Martin, lo que indica que APT31 posiblemente lo usó contra un objetivo estadounidense. Algunos los informes ahora indican Lockheed Martin descubrió la versión china de la herramienta utilizada en una pink con sede en Estados Unidos sin embargo, no se ha confirmado qué organización se vio afectada.

Ahora, los investigadores informan que Jian era en realidad una versión reconstruida de una herramienta de Equation Group. Esta herramienta, denominada «EpMe», es uno de los cuatro exploits de escalada de privilegios diferentes incluidos en el marco de ataque DanderSpritz, un marco de submit-explotación utilizado por Equation Group que tiene una gama de herramientas para la persistencia, el reconocimiento, el movimiento lateral y eludir la seguridad. instrumentos. EpMe se remonta a 2013, años antes de que APT31 fuera capturado usándolo en la naturaleza.

Si bien pueden aprovechar la misma vulnerabilidad, los investigadores de Check out Stage señalan «cambios significativos» entre la herramienta EpMe primary y la herramienta Jian reutilizada.

«EpMe, el exploit de Equation Team, es mucho más completo y más profesional», dice Itay Cohen, investigador de seguridad senior de Verify Point. El marco completo de DanderSpritz, del cual EpMe es una pequeña parte, «es enorme, es muy profesional y está muy bien escrito», continúa. «En una nota personalized, es uno de los mejores marcos de malware que he analizado».

Al comparar EpMe con Jian, Cohen señala diferencias en la calidad del código. Se cree que APT31 no tuvo acceso al código fuente de EpMe y realizó ingeniería inversa de la herramienta. APT31 también cometió errores al implementar el exploit: el grupo trató de admitir Home windows 2000, por ejemplo, aunque esta versión del sistema operativo no se vio afectada por la vulnerabilidad.

«Hicieron (esto) porque tomaron artefactos del exploit que realmente no entendieron», dice Cohen.

Dos de los exploits de escalada de privilegios en el marco de DanderSpritz eran días cero en el momento en que se desarrolló el marco. Uno de estos días cero, cuyo nombre en código es «EpMo», nunca fue discutido ni parcheado públicamente por Microsoft en 2017 sin CVE-ID aparente. en un redacción de sus hallazgos, los investigadores dicen que esto fue aparentemente en respuesta a la filtración de Shadow Brokers. Los otros dos exploits en DanderSpritz tienen el nombre en código ElEi y ErNi.

La evidencia indica que APT31 tuvo acceso a los archivos de EpMe, tanto las versiones de 32 bits como de 64 bits, al menos dos años antes de la filtración de Shadow Brokers. Hasta ahora, no está claro exactamente cómo APT31 obtuvo acceso a la herramienta, aunque los investigadores tienen más confianza en algunas teorías que en otras.

«Siempre es posible que cuando Equation Group implementó el exploit, de alguna manera fue detectado», dice Eyal Itkin, investigador de vulnerabilidades de Check Place. Equation Team puede haberlo usado contra un objetivo chino en una crimson que fue monitoreada, y la herramienta fue capturada y analizada.

Otra posibilidad es que Equation Team haya utilizado EpMe contra un objetivo de terceros. Si APT31 estaba presente en la misma crimson, es posible que haya descubierto la herramienta allí, dice.

«Sabemos con certeza que diferentes APT monitorean las redes en las que se infiltran», continúa Itkin. «Entonces, si encuentran un APT adicional, buscarán exploits y herramientas que utilice el APT para poder clonarlos».

Una tercera opción, menos possible, sería la infiltración de APT31 en la infraestructura de Equation Team, como un servidor de ataque. Sin embargo, Itkin señala que en este caso, APT31 habría obtenido acceso a herramientas y exploits adicionales Hasta el momento, no hay evidencia que indique que esto haya ocurrido.

La historia detrás del descubrimiento: investigación de CPR
Los investigadores de malware y vulnerabilidades de Test Level han pasado los últimos meses enfocados en los ataques recientes de escalada de privilegios de Windows atribuidos a actores chinos. Fue durante esta investigación que descubrieron los orígenes de la herramienta Jian.

«En este proyecto, revisamos y analizamos las vulnerabilidades, específicamente los días cero en Home windows», explica Cohen. «Hacemos esto para mapear y extraer huellas dactilares de ellos. Estas huellas dactilares son artefactos únicos que encontramos dentro de los archivos de exploits y luego podemos usarlos para buscar, o atribuir, exploits pasados ​​y futuros».

Este descubrimiento comenzó con un solo exploit, dice Itkin. Después de leer informes y descubrir exploits adicionales, encontraron artefactos o módulos coincidentes entre dos exploits que se atribuyen a actores chinos: uno de 2019 y otro de 2017.

«Una vez que encontramos un módulo común o un recurso compartido entre dos muestras, podemos intentar convertirlo en un artefacto único de (un) actor», dice. Cuando analizaron el CVE de 2017, los investigadores notaron configuraciones y artefactos únicos, que asumieron que serían utilizados por el mismo desarrollador en muestras adicionales que analizan, si es que pueden encontrarlas.

«Esencialmente, es un tiro en la oscuridad», agrega Itkin. «A veces encontramos un buen artefacto y encontramos muestras adicionales a veces no encontramos nada».

En este caso, los investigadores extrajeron un artefacto de una muestra de código, realizaron una búsqueda basada en el artefacto y, sorprendentemente, descubrieron exploits de Equation Team en lugar de exploits chinos. Esto fue lo que finalmente los llevó a la historia de hoy y al artículo técnico, señala.

Kelly Sheridan es la editora de personalized de Darkish Looking through, donde se enfoca en noticias y análisis de ciberseguridad. Es una periodista de tecnología empresarial que anteriormente reportó para InformationWeek, donde cubrió Microsoft, y Seguros y tecnología, donde cubrió finanzas … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia original