Total Pageviews

Blog Archive

Procura neste Blog

ITO-NeTthings. Com tecnologia do Blogger.

Blogs de Portugal

Grupo de hackers sediado na China clonou ferramenta ofensiva cibernética americana

Grupo de hackers sediado na China clonou ferramenta ofensiva cibernética americana
Share it:
Jian foi o nome dado pelos investigadores da Check Point à ferramenta de ataque americana reaproveitada por grupo de hackers chinês que, atacando um computador, poderia tomar o seu total controlo
Grupo de hackers sediado na China clonou ferramenta ofensiva cibernética americana

Investigadores da Check Point Research, área de Threat Intelligence da Check Point® Software Technologies Ltd. (NASDAQ: CHKP), fornecedor líder global de soluções de cibersegurança, revelam que um grupo de hackers chineses, o APT31, clonou uma ferramenta cibernética ofensiva de uma unidade de hackers sediada nos Estados Unidos da América, denominada “Equation Group”. O clone esteve em utilização entre 2014 e 2017, 3 anos antes do grupo de atacantes ser exposto. A equipa de investigação da Check Point atribuiu à ferramenta clonada o nome “Jian”, em referência à espada reta de dois gumes utilizada na China nos últimos 2500 anos.

Identificada pela primeira vez pela equipa de resposta a incidentes da empresa aeroespacial Lockheed Martin e exposta em detalhe pela Microsoft, em 2017, a ferramenta cibernética estava capacitada para implementar ataques zero-day e elevação de privilégios em computadores com sistemas operativos a começar no Windows XP até ao Windows 8. Por outras palavras, o atacante poderia, através desta ferramenta, movimentar-se livremente em dispositivos infetados, estando apto para instalar programas, visualizar, alterar ou excluir dados e, até, criar novas contas de administrador.

A Microsoft lançou a devida patch para a vulnerabilidade ligada à ferramenta cibernética ofensiva, documentando-a enquanto CVE-2017-0005 e atribuindo a sua origem ao grupo de hackers denominado APT31 sediado na China. Novas evidências reveladas pela Check Point Research subvertem agora a assunção de que o APT31 é a fonte original da ferramenta cibernética responsável pela vulnerabilidade CVE-2017-0005. No âmbito da sua mais recente investigação, a Check Point Research revela que esta é, na verdade, um clone de um instrumento de ataque, “EpMe”, desenvolvido pelo Equation Group, dos Estados Unidos. O Equation Group é um agente ameaças altamente sofisticado, suspeito de estar vinculado à unidade de Operações de Acesso Personalizado (TAO) da Agência de Segurança Nacional dos Estados Unidos (NSA).

Dado que a ferramenta de ataque do Equation Group foi reaproveitada para atacar americanos, os investigadores da Check Point apelidaram o instrumento de ataque do APT31 de “Jian”, em referência à espada reta de dois gumes utilizada na China nos últimos 2500 anos. A “Jian” esteve operacional durante 3 anos, entre 2014 e 2017, até ser reportada à Microsoft, meses antes do grupo de hackers “Shadow Brokers” divulgar publicamente o código de espionagem da autoria do Equation Group (incluindo do “EpMe”).

Fases de ataque da “Jian”
 
Um ataque típico desta ferramenta inclui, por norma, 3 fases:
  1. Comprometer o computador que se pretende atacar
  2. Alcançar os mais amplos privilégios de controlo
  3. Instalação integral de malware pelo atacante

Ambas as versões da ameaça, “Jian” e “EpMe”, ambicionam cumprir a segunda fase, na qual os privilégios de acesso do invasor são elevados. Após obter acesso inicial – através, por exemplo, de uma vulnerabilidade zero-cliques, um e-mail de phishing ou outro qualquer vetor de ataque – a “Jian” conferirá ao cibercriminoso os mais amplos privilégios no dispositivo infetado.

Revelação de ameaça por explorar

A investigação da Check Point Research às raízes da Jian levou a uma coleção não documentada de ameaças de elevação de privilégios que integravam a divulgação levada a cabo pelo grupo Shadow Brokers em 2017. As 4 ameaças incluem a estrutura pós-exploração do Equation Group, duas das quais passaram despercebidas, até agora:
  1. EpMe – a ameaça de zero-day original para a vulnerabilidade CVE-2017-0005
  2. EpMo – uma vulnerabilidade corrigida silenciosamente pela Microsoft após a divulgação pública
Segundo o que consta do conhecimento da Check Point Research, a vulnerabilidade “EpMo” nunca foi discutida publicamente até agora. A patch para a EpMo foi implementada pela Microsoft em maio de 2017 sem CVE-ID aparente, parecendo ser um efeito colateral da divulgação do grupo “Shadow Brokers”.

“Apesar da ‘Jian’ ter sido identificada e analisada pela Microsoft no início de 2017, e mesmo depois dos Shadow Brokers terem exposto a operação do Equation Group há quase 4 anos, ainda há muito por aprender ao analisar eventos passados. Só o facto de um módulo inteiro de exploração, contendo 4 explorações diferentes, se ter mantido por revelar durante 4 anos no GitHub, ensina-nos muito sobre a enormidade da divulgação em torno das ferramentas do Equation Group”, assinala Yaniv Balmas, Head of Cyber Research, Products - R&D da Check Point. “A nossa investigação é, essencialmente, a demonstração de como um grupo APT está a usar as ferramentas de outro grupo APT para as suas próprias operações, fazendo com que seja mais difícil para os investigadores de segurança avaliar precisamente a natureza e atribuição dos ataques. A nossa esperança é que a nossa mais recente técnica para rastrear vulnerabilidades expostas possa levar a novas conclusões, até agora desconsideradas pela indústria de segurança,” termina o responsável.
Share it:

info

Post A Comment:

0 comments: