Το Check Point Research (CPR) δήλωσε ότι το εργαλείο Jian ήταν ένας «κλώνος» λογισμικού (zero-day exploit των Windows) που είχε αναπτυχθεί από το Equation Group της Εθνικής Υπηρεσίας Ασφαλείας των ΗΠΑ (NSA). Σύμφωνα με τους ερευνητές, το Jian είναι ένας κλώνος του “EpMe”. Χρησιμοποιήθηκε ενεργά από το 2014 μέχρι το 2017 – χρόνια πριν από την επιδιόρθωση της ευπάθειας
Πιστεύεται ότι η ομάδα APT31 είχε αποκτήσει πρόσβαση στο exploit module του Equation Group – εκδόσεις 32- και 64-bit – με τους ερευνητές να μην είναι σίγουροι για το πώς αποκτήθηκε η πρόσβαση από την κινεζική APT. Η έρευνα για το Jian αποκάλυψε επίσης ένα module που περιέχει τέσσερα exploits κλιμάκωσης προνομίων που ήταν μέρος του framework DanderSpritz του Equation Group. Δύο από τα exploits στο framework, που χρονολογούνται από το 2013, ήταν ελαττώματα zero-day. Ένα από τα exploits ήταν το EpMe, ενώ ένα άλλο, το οποίο ονομάστηκε “EpMo”, φαίνεται να έχει διορθωθεί από τον Μάιο του 2017 από τη Microsoft.
Αυτό δεν είναι το μόνο παράδειγμα μιας κινεζικής APT που κλέβει και επανατοποθετεί εργαλεία Equation Group. Σε μια άλλη περίπτωση που τεκμηριώθηκε από τη Symantec το 2019, η APT3 “Buckeye” συνδέθηκε με επιθέσεις που χρησιμοποιούσαν εργαλεία Equation Group το 2016, πριν από τη διαρροή των Shadow Brokers. Ενώ η Buckeye φάνηκε να διαλύεται στα μέσα του 2017, τα εργαλεία χρησιμοποιούνταν έως το 2018 – αλλά δεν είναι γνωστό εάν μεταβιβάστηκαν σε κάποια άλλη ομάδα.
https://www.secnews.gr/324668/kinezoi-hacker-klwnopoihsan-ergaleio-equation-group-nsa/
Πιστεύεται ότι η ομάδα APT31 είχε αποκτήσει πρόσβαση στο exploit module του Equation Group – εκδόσεις 32- και 64-bit – με τους ερευνητές να μην είναι σίγουροι για το πώς αποκτήθηκε η πρόσβαση από την κινεζική APT. Η έρευνα για το Jian αποκάλυψε επίσης ένα module που περιέχει τέσσερα exploits κλιμάκωσης προνομίων που ήταν μέρος του framework DanderSpritz του Equation Group. Δύο από τα exploits στο framework, που χρονολογούνται από το 2013, ήταν ελαττώματα zero-day. Ένα από τα exploits ήταν το EpMe, ενώ ένα άλλο, το οποίο ονομάστηκε “EpMo”, φαίνεται να έχει διορθωθεί από τον Μάιο του 2017 από τη Microsoft.
Αυτό δεν είναι το μόνο παράδειγμα μιας κινεζικής APT που κλέβει και επανατοποθετεί εργαλεία Equation Group. Σε μια άλλη περίπτωση που τεκμηριώθηκε από τη Symantec το 2019, η APT3 “Buckeye” συνδέθηκε με επιθέσεις που χρησιμοποιούσαν εργαλεία Equation Group το 2016, πριν από τη διαρροή των Shadow Brokers. Ενώ η Buckeye φάνηκε να διαλύεται στα μέσα του 2017, τα εργαλεία χρησιμοποιούνταν έως το 2018 – αλλά δεν είναι γνωστό εάν μεταβιβάστηκαν σε κάποια άλλη ομάδα.
https://www.secnews.gr/324668/kinezoi-hacker-klwnopoihsan-ergaleio-equation-group-nsa/
No comments :
Post a Comment