Posté le février 28, 2021 à 14:50
DES HACKERS CHINOIS DÉCOUVERTS EN TRAIN DE CIBLER LES AMÉRICAINS AVEC DES CODES DE LA NSA
Des hackers chinois ont été découverts en train de cloner et utiliser un exploit Windows zero-day qu’ils ont volé au groupe Equation de la NSA pour attaquer les Américains.
Les chercheurs de CheckPoint Research (CPR) ont révélé que l’outil volé était un « clone » de logiciel développé par l’Agence de sécurité nationale américaine (NSA). L’équipe de sécurité de Kaspersky a découvert le groupe de hackers en 2015 et a constaté qu’il s’agissait de l’un des groupes cybercriminels les plus sophistiqués au monde à l’époque.
La vulnérabilité a été initialement découverte par l’équipe de Lockheed Martin avant d’être détaillée par Microsoft en 2017, selon Check Point.
L’outil de piratage était un logiciel cloné du groupe Equation
On pense que le groupe Equation est actif depuis 2001 et qu’il est lié à l’unité Tailored Access Operation (TAO), une agence de cyber-intelligence américaine.
Le groupe de hackers Shadow Brokers a révélé des fichiers et des outils de piratage développés par le groupe Equation en 2017. Certains de ces outils ont été utilisés pour infiltrer de nouvelles vulnérabilités dans plusieurs systèmes, tels que Microsoft Windows. En conséquence, les vendeurs ont publié des mises à jour et des correctifs d’urgence pour s’assurer que les outils d’exploitation soient rendus inutilisables.
Plus tard en 2017, Microsoft a publié un correctif de vulnérabilité « zero-day » pour les systèmes Windows XP à Windows 8 CVE-2017-0005, qui pouvait être utilisé pour l’escalade de privilèges.
Au départ, les chercheurs pensaient que l’exploit avait été développé par le groupe de menace persistante avancée chinois appelé APT31 ou Zirconium.
Mais les chercheurs de CheckPoint ont découvert que l’outil, nommé Jian, était en fait un logiciel cloné du groupe Equation utilisé de 2014 à 2017.
L’outil cloné a été utilisé et cloné avant même qu’un patch pour la vulnérabilité ne soit développé.
Les outils sont utilisés pour augmenter les privilèges de l’attaquant
Le « EpMe » du groupe Equation et le Jian de l’APT31 sont tous deux utilisés principalement pour augmenter les privilèges de l’attaquant dans l’environnement local de Windows. L’outil est utilisé pour permettre à l’acteur malveillant d’accéder à un ordinateur cible par le biais d’un courriel d’hameçonnage ou d’une vulnérabilité « zero click ».
Grâce à ce privilège, il peut « se déplacer librement » et mener l’activité d’exploitation de son choix. Lockheed Martin a déjà signalé la vulnérabilité CVE-2017-0005 à Microsoft, mais le géant de l’informatique a déclaré que la vulnérabilité est une vulnérabilité inhabituelle au sein de son serveur.
L’entreprise a déclaré que la vulnérabilité est la seule à avoir été signalée ces dernières années. Check Point a ajouté que les acteurs pourraient avoir ciblé Lockheed Martin lui-même ou l’un de leurs clients.
Cependant, Check Point affirme maintenant que l’outil, appelé Jian, était en fait un clone d’un logiciel utilisé par le groupe Equation et était activement utilisé entre 2014 et 2017 – des années avant que la vulnérabilité ne soit corrigée – et n’était pas une construction sur mesure par les acteurs malveillants chinois.
L’outil de hackers Jian était une « réplique » d’EpMe, l’outil Windows utilisé pour le piratage et lié au groupe Equation.
Les hackers peuvent avoir obtenu l’exploit grâce à une cible chinoise
Les chercheurs ont également déclaré que l’APT31 avait accédé au module d’exploitation du groupe d’équations, y compris les versions 64 bits et 32 bits.
Cependant, on ne sait pas exactement comment l’APT chinois a pu avoir accès à l’exploit, mais certains éléments de preuve montrent qu’il a pu être acquis lors d’une attaque du groupe Equation sur une cible chinoise.
Un autre scénario est que les hackers ont pu voler l’exploit pendant que le groupe Equation était actif sur un réseau observé par l’APT31.
L’enquête a également révélé un module qui contient quatre exploits d’escalade liés au cadre de post-exploitation de DanderSpritz du groupe Equation.
La recherche a également montré que deux des quatre exploits étaient des zero-days. Mais Microsoft a corrigé la même année une des failles nommée EpMe en répondant à l’exploit de Shadow Brokers. L’autre vulnérabilité zero-day était la vulnérabilité EpMe, qui est plus critique. Les autres exploits sont les vulnérabilités Erni et AIEI, qui sont relativement peu connues dans le domaine de la cybersécurité.
Ce n’est pas la première fois que le groupe chinois APT est lié au vol et à la réaffectation des outils du groupe Equation. En 2019, l’APT3 Buckeye a été impliqué dans des attaques avec les outils du groupe Equation avant l’incident de piratage de Shadow Brokers.
Bien que Buckeye ait disparu en 2017, ses outils étaient toujours visibles dans la nature. Il n’est pas clair quel groupe de hackers a hérité des outils et dans quels domaines ils ont été utilisés.
