WhiteHat News #ID:2018
WhiteHat Support
-
20/03/2017
-
129
-
443 bài viết
Công cụ hacking của NSA rơi vào tay tin tặc Trung Quốc nhiều năm trước khi bị công khai bởi Shadow Brokers
Nhóm tin tặc APT31 từ Trung Quốc rất có thể đã tiếp cận và tạo bản clone một trong những mã khai thác của Equation Group ba năm trước khi Shadow Brokers công khai hàng loạt công cụ tấn công của đơn vị này.
Ngày 13/08/2016, nhóm tin tặc Shadow Brokers đã đánh cắp các công cụ và mã khai thác do nhóm Equation Group sử dụng. Nhóm này lại có mối liên hệ với Đơn vị các chiến dịch đột nhập đặc biệt (TAO) thuộc Cơ quan An ninh quốc gia Hoa Kỳ (NSA).
Được đánh số là CVE-2017-0005, còn gọi là Jian, lỗ hổng đã được Microsoft xử lý vào tháng 03/2017, sau khi Nhóm ứng cứu sự số máy tính Lockheed Martin quan sát được một cuộc tấn công có thể xảy ra nhắm vào người Mỹ và báo cáo vụ việc cho hãng này.
Đây là lỗ hổng leo thang đặc quyền cục bộ (LPE) và đã được APT31 (hay Zirconium) khai thác một cách chủ động. Mã khai thác của lỗ hổng được cho là bản clone mã khai thác của Equation Group.
Mã khai thác ban đầu có tên EpMe, là một trong 4 mã khai thác LPE khác nhau (ElEi, ErNi, EpMe, và EpMo) thuộc framework DanderSpritz của Equation Group.
Phân tích DanderSpritz, các nhà nghiên cứu phát hiện ra rằng hai trong số các lỗ hổng mục tiêu của công cụ này là các lỗ hổng cũ (ElEi khai thác CVE-2011-3402 và ErNi nhắm đến CVE-2013-3128), một lỗ hổng (mục tiêu của EpMo) không được Microsoft đánh số và đã âm thầm cập nhật bản vá, trong khi lỗ hổng thứ 4 (CVE-2017-0005, mục tiêu của EpMe) đã được APT31 sao chép gần 3 năm trước khi được vá.
Những vụ khai thác này không nhận được sự quan tâm như Eternal Blue, Eternal Romance và các công cụ khác bị rò rỉ của Equation Group.
Theo các nhà nghiên cứu của CheckPoint, sau khi bản vá của CVE-2017-0005 được phát hành, các vụ khai thác lỗ hổng EpMe và Jian đều ngừng hoạt động.
Dù việc có hai nhóm tin tặc cùng nhắm mục tiêu vào một lỗ hổng bảo mật có thể được coi là ngẫu nhiên, nhưng so sánh giữa hai cách khai thác đều cho thấy sự tương đồng về mã, hằng số dùng chung và bố cục bộ nhớ.
Phân tích sâu hơn lại cho thấy, các vụ khai thác có chứa các bản sao tương đồng với các công cụ của Equation Group, chứng tỏ EpMe là mã khai thác đầu tiên nhắm đến CVE-2017-0005. APT31 dường như có thể đã đánh cắp, sao chép và bắt đầu sử dụng mã khai thác này từ năm 2014 cho đến khi bản vá được phát hành năm 2017.
Ngày 13/08/2016, nhóm tin tặc Shadow Brokers đã đánh cắp các công cụ và mã khai thác do nhóm Equation Group sử dụng. Nhóm này lại có mối liên hệ với Đơn vị các chiến dịch đột nhập đặc biệt (TAO) thuộc Cơ quan An ninh quốc gia Hoa Kỳ (NSA).
Đây là lỗ hổng leo thang đặc quyền cục bộ (LPE) và đã được APT31 (hay Zirconium) khai thác một cách chủ động. Mã khai thác của lỗ hổng được cho là bản clone mã khai thác của Equation Group.
Mã khai thác ban đầu có tên EpMe, là một trong 4 mã khai thác LPE khác nhau (ElEi, ErNi, EpMe, và EpMo) thuộc framework DanderSpritz của Equation Group.
Phân tích DanderSpritz, các nhà nghiên cứu phát hiện ra rằng hai trong số các lỗ hổng mục tiêu của công cụ này là các lỗ hổng cũ (ElEi khai thác CVE-2011-3402 và ErNi nhắm đến CVE-2013-3128), một lỗ hổng (mục tiêu của EpMo) không được Microsoft đánh số và đã âm thầm cập nhật bản vá, trong khi lỗ hổng thứ 4 (CVE-2017-0005, mục tiêu của EpMe) đã được APT31 sao chép gần 3 năm trước khi được vá.
Những vụ khai thác này không nhận được sự quan tâm như Eternal Blue, Eternal Romance và các công cụ khác bị rò rỉ của Equation Group.
Theo các nhà nghiên cứu của CheckPoint, sau khi bản vá của CVE-2017-0005 được phát hành, các vụ khai thác lỗ hổng EpMe và Jian đều ngừng hoạt động.
Dù việc có hai nhóm tin tặc cùng nhắm mục tiêu vào một lỗ hổng bảo mật có thể được coi là ngẫu nhiên, nhưng so sánh giữa hai cách khai thác đều cho thấy sự tương đồng về mã, hằng số dùng chung và bố cục bộ nhớ.
Phân tích sâu hơn lại cho thấy, các vụ khai thác có chứa các bản sao tương đồng với các công cụ của Equation Group, chứng tỏ EpMe là mã khai thác đầu tiên nhắm đến CVE-2017-0005. APT31 dường như có thể đã đánh cắp, sao chép và bắt đầu sử dụng mã khai thác này từ năm 2014 cho đến khi bản vá được phát hành năm 2017.
Theo Security Week, The Hacker News