Linux Adictos Darkcrizt  

China clonó y utilizó un exploit 0-Day de la NSA durante años antes de que se hiciera público

Muchos deben recordar la divulgación de las herramientas secretas de hacking de la NSA orquestadas por el grupo de hackers conocido como Shadow Brokers, que llegó hace poco más de cuatro años. Entre el software que se filtró se encontraba una herramienta llamada «EpMe», que eleva los privilegios de un sistema Windows vulnerable al nivel de administrador del sistema, dándole un control total.

Según un informe publicado el lunes por Check Point, mucho antes de la divulgación, un grupo de hackers afiliados a Beijing había logrado poner sus manos en el exploit, clonarlo y usarlo durante años.

En 2013, una entidad llamada «Equation Group, ampliamente conocida como una división de la NSA, se propuso desarrollar una serie de exploits, incluido uno llamado» EpMe «que eleva los privilegios de un sistema Windows vulnerable a administrador, dándole control total.

Esto permite que alguien con acceso a una máquina controle todo el sistema. En 2017, una gran cantidad de herramientas desarrolladas por Equation Group fueron divulgadas en línea por Shadow Brokers.

Por esta época, Microsoft canceló su parche del año del jueves de febrero, identificó la vulnerabilidad explotada por EpMe (CVE-2017-0005) y la solucionó unas semanas después.

Cabe señalar que Lockheed Martin, la empresa de defensa y seguridad de EE. UU., sería la primera en identificar y alertar a Microsoft sobre esta falla, lo que sugiere que podría usarse contra un objetivo de EE. UU.

A mediados de 2017, Microsoft parcheó silenciosamente la vulnerabilidad que explotó EpMe. Finalmente, esta es la cronología de la historia que teníamos hasta la publicación del informe de Check Point el lunes.

De hecho, el informe proporciona pruebas de que las cosas no resultaron exactamente así. La empresa descubrió que un grupo de hackers chinos conocido como APT31, también conocido como Zirconium o «Judgment Panda», de alguna manera se las había arreglado para acceder y utilizar EpMe.

Específicamente, el informe estima que entre 2014 y 2015, APT31 desarrolló un exploit, que Check Point llamó «Jian», clonando EpMe de alguna manera. Luego habría utilizado esta herramienta desde 2015 hasta marzo de 2017, cuando Microsoft corrigió la vulnerabilidad que estaba atacando.

Esto significaría que APT31 obtuvo acceso a EpMe, un exploit de «escalada de privilegios»., mucho antes de las filtraciones causadas por Shadow Brokers entre finales de 2016 y principios de 2017. »

El caso de EpMe/Jian es único, porque tenemos pruebas de que Jian se creó a partir de la muestra real del exploit creado por Equation Group», dijo Check Point en el informe. Entonces, ¿cómo lo consiguieron? Habiendo fechado las muestras de APT31 3 años antes de la filtración de Shadow Broker, la compañía sugiere que las muestras del exploit Equation Group podrían haber sido adquiridas por APT31 de una de las siguientes maneras:

capturado durante un ataque de Equation Group a un objetivo chino;
capturado durante una operación de Equation Group en una red de terceros que también fue monitoreada por APT31;
capturado por APT31 durante un ataque a la infraestructura de Equation Group.

Una persona familiarizada con el asunto dijo que Lockheed Martin, quien identificó la vulnerabilidad explotada por Jian en 2017, la descubrió en la red de un tercero no identificado. La persona también dijo que la red infectada no formaba parte de la cadena de suministro de Lockheed Martin, pero se negó a compartir más detalles.

En un comunicado, respondiendo a la investigación de Check Point, Lockheed Martin dijo que «evalúa regularmente el software y la tecnología de terceros para identificar vulnerabilidades e informarlas de manera responsable a los desarrolladores y otras partes interesadas».

Por su parte, la NSA se negó a comentar sobre los hallazgos del informe Check Point. Asimismo, la Embajada de China en Washington no respondió a las solicitudes de comentarios. Sin embargo, el descubrimiento se produce cuando algunos expertos dicen que los espías estadounidenses deberían gastar más energía solucionando las lagunas que encuentran en el software en lugar de desarrollar e implementar malware para explotarlo.

Check Point dice que hizo este descubrimiento investigando las antiguas herramientas de escalado de privilegios de Windows para crear «huellas digitales».

Fuente: https://blog.checkpoint.com

Leave A Comment

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.