Jian foi o nome dado pelos investigadores da Check Point à ferramenta de ataque americana reaproveitada por grupo de hackers chinês que, atacando um computador, poderia tomar o seu total controlo
Investigadores da Check Point Research, área de Threat Intelligence da Check Point® Software Technologies Ltd. (NASDAQ: CHKP), fornecedor líder global de soluções de cibersegurança, revelam que um grupo de hackers chineses, o APT31, clonou uma ferramenta cibernética ofensiva de uma unidade de hackers sediada nos Estados Unidos da América, denominada “Equation Group”. O clone esteve em utilização entre 2014 e 2017, 3 anos antes do grupo de atacantes ser exposto. A equipa de investigação da Check Point atribuiu à ferramenta clonada o nome “Jian”, em referência à espada reta de dois gumes utilizada na China nos últimos 2500 anos.
Identificada pela primeira vez pela equipa de resposta a incidentes da empresa aeroespacial Lockheed Martin e exposta em detalhe pela Microsoft, em 2017, a ferramenta cibernética estava capacitada para implementar ataques zero-day e elevação de privilégios em computadores com sistemas operativos a começar no Windows XP até ao Windows 8. Por outras palavras, o atacante poderia, através desta ferramenta, movimentar-se livremente em dispositivos infetados, estando apto para instalar programas, visualizar, alterar ou excluir dados e, até, criar novas contas de administrador.
A Microsoft lançou a devida patch para a vulnerabilidade ligada à ferramenta cibernética ofensiva, documentando-a enquanto CVE-2017-0005 e atribuindo a sua origem ao grupo de hackers denominado APT31 sediado na China. Novas evidências reveladas pela Check Point Research subvertem agora a assunção de que o APT31 é a fonte original da ferramenta cibernética responsável pela vulnerabilidade CVE-2017-0005. No âmbito da sua mais recente investigação, a Check Point Research revela que esta é, na verdade, um clone de um instrumento de ataque, “EpMe”, desenvolvido pelo Equation Group, dos Estados Unidos. O Equation Group é um agente ameaças altamente sofisticado, suspeito de estar vinculado à unidade de Operações de Acesso Personalizado (TAO) da Agência de Segurança Nacional dos Estados Unidos (NSA).
Dado que a ferramenta de ataque do Equation Group foi reaproveitada para atacar americanos, os investigadores da Check Point apelidaram o instrumento de ataque do APT31 de “Jian”, em referência à espada reta de dois gumes utilizada na China nos últimos 2500 anos. A “Jian” esteve operacional durante 3 anos, entre 2014 e 2017, até ser reportada à Microsoft, meses antes do grupo de hackers “Shadow Brokers” divulgar publicamente o código de espionagem da autoria do Equation Group (incluindo do “EpMe”).
Fases de ataque da “Jian”
Um ataque típico desta ferramenta inclui, por norma, 3 fases:
Ambas as versões da ameaça, “Jian” e “EpMe”, ambicionam cumprir a segunda fase, na qual os privilégios de acesso do invasor são elevados. Após obter acesso inicial – através, por exemplo, de uma vulnerabilidade zero-cliques, um e-mail de phishing ou outro qualquer vetor de ataque – a “Jian” conferirá ao cibercriminoso os mais amplos privilégios no dispositivo infetado.
Revelação de ameaça por explorar
A investigação da Check Point Research às raízes da Jian levou a uma coleção não documentada de ameaças de elevação de privilégios que integravam a divulgação levada a cabo pelo grupo Shadow Brokers em 2017. As 4 ameaças incluem a estrutura pós-exploração do Equation Group, duas das quais passaram despercebidas, até agora:
“Apesar da ‘Jian’ ter sido identificada e analisada pela Microsoft no início de 2017, e mesmo depois dos Shadow Brokers terem exposto a operação do Equation Group há quase 4 anos, ainda há muito por aprender ao analisar eventos passados. Só o facto de um módulo inteiro de exploração, contendo 4 explorações diferentes, se ter mantido por revelar durante 4 anos no GitHub, ensina-nos muito sobre a enormidade da divulgação em torno das ferramentas do Equation Group”, assinala Yaniv Balmas, Head of Cyber Research, Products - R&D da Check Point. “A nossa investigação é, essencialmente, a demonstração de como um grupo APT está a usar as ferramentas de outro grupo APT para as suas próprias operações, fazendo com que seja mais difícil para os investigadores de segurança avaliar precisamente a natureza e atribuição dos ataques. A nossa esperança é que a nossa mais recente técnica para rastrear vulnerabilidades expostas possa levar a novas conclusões, até agora desconsideradas pela indústria de segurança,” termina o responsável.
- Comprometer o computador que se pretende atacar
- Alcançar os mais amplos privilégios de controlo
- Instalação integral de malware pelo atacante
Ambas as versões da ameaça, “Jian” e “EpMe”, ambicionam cumprir a segunda fase, na qual os privilégios de acesso do invasor são elevados. Após obter acesso inicial – através, por exemplo, de uma vulnerabilidade zero-cliques, um e-mail de phishing ou outro qualquer vetor de ataque – a “Jian” conferirá ao cibercriminoso os mais amplos privilégios no dispositivo infetado.
Revelação de ameaça por explorar
A investigação da Check Point Research às raízes da Jian levou a uma coleção não documentada de ameaças de elevação de privilégios que integravam a divulgação levada a cabo pelo grupo Shadow Brokers em 2017. As 4 ameaças incluem a estrutura pós-exploração do Equation Group, duas das quais passaram despercebidas, até agora:
- EpMe – a ameaça de zero-day original para a vulnerabilidade CVE-2017-0005
- EpMo – uma vulnerabilidade corrigida silenciosamente pela Microsoft após a divulgação pública
“Apesar da ‘Jian’ ter sido identificada e analisada pela Microsoft no início de 2017, e mesmo depois dos Shadow Brokers terem exposto a operação do Equation Group há quase 4 anos, ainda há muito por aprender ao analisar eventos passados. Só o facto de um módulo inteiro de exploração, contendo 4 explorações diferentes, se ter mantido por revelar durante 4 anos no GitHub, ensina-nos muito sobre a enormidade da divulgação em torno das ferramentas do Equation Group”, assinala Yaniv Balmas, Head of Cyber Research, Products - R&D da Check Point. “A nossa investigação é, essencialmente, a demonstração de como um grupo APT está a usar as ferramentas de outro grupo APT para as suas próprias operações, fazendo com que seja mais difícil para os investigadores de segurança avaliar precisamente a natureza e atribuição dos ataques. A nossa esperança é que a nossa mais recente técnica para rastrear vulnerabilidades expostas possa levar a novas conclusões, até agora desconsideradas pela indústria de segurança,” termina o responsável.
Post A Comment:
0 comments: