INZERCE

Společnost Check Point dala kybernástroji název oboustranného čínského meče Jian. Foto: společnosti Check Point

Překvapení v podobě obousečného meče. Čínští hackeři útočili pomocí naklonovaného nástroje americké Národní bezpečnostní agentury

Čínští hackeři naklonovali a aktivně používali kybernetický útočný nástroj americké hackerské skupiny, která je považována za speciální jednotku Národní bezpečnostní agentury. Klon byl použit čínskými hackery v letech 2014 až 2017, tedy tři roky před odhalením této skupiny, k útokům na americké cíle.

Čínským hackerům se před lety podařil, česky řečeno, doslova ajťácký majstrštyk. Ke svým kyber útokům používali nástroj americké hackerské jednotky Equation Group. To je název skupiny, která je považována za speciální jednotku TAO (Tailored Access Operations) Národní bezpečnostní agentury (NSA).

Výzkumný tým společnosti Check Point Research kybernetický útočný nástroj pojmenoval Jian po obousečném čínském meči. Útočníci mohli použít nástroj k získání nejvyšších oprávnění a na infikovaných počítačích dělat prakticky cokoli. Například instalovat programy, prohlížet, měnit nebo mazat data nebo vytvářet nové účty s administrátorskými právy.

Klon kybernetického útočného nástroje byl poprvé odhalen týmem společnosti Lockheed Martin a následně byl analyzován společností Microsoft v roce 2017. Microsoft zranitelnost spojenou s útočným nástrojem opravil a zneužití bylo připsáno právě čínské hackerské skupině APT31.

Nové důkazy však ukazují, že původním zdrojem útočného nástroje nebyla skupina APT31. Výzkumníci Check Point totiž odhalili, že kyberútočný nástroj skupiny APT31 byl ve skutečnosti klonem útočného nástroje s kódovým označením EpMe vyvinutého americkou společností Equation Group.

Ještě několik měsíců před tím hackerská skupina Shadow Brokers zveřejnila špionážní kód Equation Group (včetně nástroje EpMe zneužívajícího zranitelnost CVE-2017-0005), což mělo za následek jedny z nejničivějších kybernetických útoků v historii, včetně WannaCry, který organizacím po celém světě způsobil škody v řádu stovek milionů dolarů a z následků se mnoho společností vzpamatovává dodnes.

Typický útok využívající Jian obsahuje tři fáze:

1) Počáteční napadení cílového počítače se systémem Windows
2) Eskalace práv na nejvyšší úroveň
3) Plná instalace malwaru

Jian i EpMe jsou určené pro fázi 2, tedy pro zvyšování oprávnění ve Windows. Nástroj je použit ve chvíli, kdy útočník získá počáteční přístup k cílovému počítači, ať už pomocí zero-click zranitelnosti nebo třeba phishingového e-mailu, a poté poskytne útočníkům nejvyšší oprávnění, takže je možné v ovládnutém počítači dělat prakticky cokoli.

Výzkumný tým společnosti Check Point analyzoval původ nástroje Jian, což vedlo k odhalení nezdokumentované sady exploitů, které byly součástí úniku Shadow Brokers v roce 2017. Čtyři exploity již byly analyzované, ale další dva zatím zůstaly bez povšimnutí. Nyní trochu dalších údajů pro ryzí milce IT:

1) EpMe – původní zero-day exploit pro CVE-2017-0005
2) EpMo – exploit v tichosti opravený společností Microsoft

Informace o EpMo nebyly doposud zveřejněné, patch byl implementován společností Microsoft v květnu 2017 bez CVE-ID, pravděpodobně v důsledku úniku Shadow Brokers.

„Rozkrýváme pozadí hrozeb a útočných skupin, takže pak můžeme lépe reagovat na budoucí útoky a dokonce zastavit i dosud neznámé hrozby. Během tohoto konkrétního vyšetřování jsme odhalili dosud neznámé pozadí nástroje Jian skupiny APT31, který se ukázal být klonem nástroje skupiny Equation Group, zneužívajícího stejnou zranitelnost. I když byl Jian odhalen a analyzován na začátku roku 2017 a i když Shadow Brokers zveřejnili nástroje skupiny Equation Group před téměř čtyřmi lety, stále při analýze těchto událostí objevujeme nové informace. Už jen to, že celý exploitační modul ležel bez povšimnutí čtyři roky na GitHubu, ukazuje na závažnost úniku nástrojů skupiny Equation Group,“ vysvětluje SE Team leader v kyberbezpečnostní společnosti Check Point Tomáš Růžička.

„Podobné případy, kdy jedna APT skupina používá nástroje jiné APT skupiny pro vlastní operace, ukazují, jak je realita složitá a jak není jednoduché spojit útoky s jednotlivými skupinami a hrozbami. Každý další střípek v mozaice ovšem pomáhá k odhalování budoucích hrozeb,“ dodal Růžička.

Tomáš Rovný