Investigadores da Check Point Research, empresa especializada em soluções de cibersegurança, revelaram que um grupo de hackers chineses, o APT31, clonou uma ferramenta cibernética ofensiva de uma unidade de hackers sediada nos Estados Unidos da América, denominada “Equation Group”.
Identificada pela primeira vez pela equipa de resposta a incidentes da empresa aeroespacial Lockheed Martin e exposta em detalhe pela Microsoft, em 2017, a ferramenta cibernética estava capacitada para implementar ataques zero-day e elevação de privilégios em computadores com sistemas operativos a começar no Windows XP até ao Windows 8. Neste caso, o atacante poderia, através desta ferramenta, movimentar-se livremente em dispositivos infetados, com direitos para instalar programas, visualizar, alterar ou excluir dados e, até, criar novas contas de administrador.
A Microsoft lançou um patch para a vulnerabilidade ligada à ferramenta cibernética ofensiva, documentando-a e atribuindo a sua origem ao grupo de hackers denominado APT31 sediado na China. Novas evidências reveladas pela Check Point Research subvertem agora a assunção de que o APT31 é a fonte original da ferramenta cibernética responsável pela vulnerabilidade.
Numa investigação recente a Check Point Research revelou que esta é, na verdade, um clone de um instrumento de ataque, “EpMe”, desenvolvido pelo Equation Group, dos Estados Unidos. O Equation Group é um agente ameaças altamente sofisticado, suspeito de estar vinculado à unidade de Operações de Acesso Personalizado (TAO) da Agência de Segurança Nacional dos Estados Unidos (NSA).
Dado que a ferramenta de ataque do Equation Group foi reaproveitada para atacar americanos, os investigadores da Check Point apelidaram o instrumento de ataque do APT31 de “Jian”, em referência à espada reta de dois gumes utilizada na China nos últimos 2500 anos. A “Jian” esteve operacional durante 3 anos, entre 2014 e 2017, até ser reportada à Microsoft, meses antes do grupo de hackers “Shadow Brokers” divulgar publicamente o código de espionagem da autoria do Equation Group (incluindo do “EpMe”).
Fases de ataque da “Jian”
Um ataque típico desta ferramenta inclui, por norma, 3 fases:
1.Comprometer o computador que se pretende atacar
2.Alcançar os mais amplos privilégios de controlo
3.Instalação integral de malware pelo atacante
Ambas as versões da ameaça, “Jian” e “EpMe”, ambicionam cumprir a segunda fase, na qual os privilégios de acesso do invasor são elevados. Após obter acesso inicial – através, por exemplo, de uma vulnerabilidade zero-cliques, um e-mail de phishing ou outro qualquer vetor de ataque – a “Jian” conferirá ao cibercriminoso os mais amplos privilégios no dispositivo infetado.
Revelação de ameaça por explorar
A investigação da Check Point Research às raízes da Jian levou a uma coleção não documentada de ameaças de elevação de privilégios que integravam a divulgação levada a cabo pelo grupo Shadow Brokers em 2017. As 4 ameaças incluem a estrutura pós-exploração do Equation Group, duas das quais passaram despercebidas, até agora:
1.EpMe – a ameaça de zero-day original para a vulnerabilidade CVE-2017-0005
2.EpMo – uma vulnerabilidade corrigida silenciosamente pela Microsoft após a divulgação pública
Do que a Check Point Research pode apurar a vulnerabilidade “EpMo” nunca foi discutida publicamente até agora. A patch para a EpMo foi implementada pela Microsoft em maio de 2017 sem CVE-ID aparente, parecendo ser um efeito colateral da divulgação do grupo “Shadow Brokers”.
“Apesar da ‘Jian’ ter sido identificada e analisada pela Microsoft no início de 2017, e mesmo depois dos Shadow Brokers terem exposto a operação do Equation Group há quase 4 anos, ainda há muito por aprender ao analisar eventos passados. Só o facto de um módulo inteiro de exploração, contendo 4 explorações diferentes, se ter mantido por revelar durante 4 anos no GitHub, ensina-nos muito sobre a enormidade da divulgação em torno das ferramentas do Equation Group”, assinalou Yaniv Balmas, Head of Cyber Research, Products – R&D da Check Point.
“A nossa investigação é, essencialmente, a demonstração de como um grupo APT está a usar as ferramentas de outro grupo APT para as suas próprias operações, fazendo com que seja mais difícil para os investigadores de segurança avaliar precisamente a natureza e atribuição dos ataques. A nossa esperança é que a nossa mais recente técnica para rastrear vulnerabilidades expostas possa levar a novas conclusões, até agora desconsideradas pela indústria de segurança,” concluiu o responsável.