Хакерская группа, известная как APT3 (а также TG-0100, Buckeye и Gothic Panda) получила в свое распоряжение один из печально известных эксплойтов АНБ и после внесения существенных модификаций начала использовать в своих целях. Как утверждают исследователи Check Point, в распоряжение APT3 попал эксплойт EternalRomance, причем произошло это еще до знаменитой утечки 2017 г.

Напомним, в Минюсте США, и других организациях, занимающихся вопросами кибербезопасности, под названием APT3 подразумевают структуру, выступающую в роли подрядчика для Министерства государственной безопасности КНР, штаб-квартира которой находится в Гуанчжоу.

Ранее в 2019 г. эксперты Symantec обнаружили, что APT3/Buckeye в своих атаках использует нечто, до степени смешения напоминающее эксплойт, разработанный группой Equation, которую в ИБ-отрасли давно и прочно связывают с Агентством национальной безопасности США (АНБ).

В Symantec пришли к выводу, что используемый вредонос китайский киберспецназ получил не в результате памятной утечки, когда некие Shadow Brokers попытались продать, а затем просто раздали кибероружие АНБ, а до нее. Более того, APT3 доработала вредонос, в частности, оснастили его эксплойтом для доселе неизвестной уязвимости нулевого дня.

Эксперты Check Point провели дополнительный анализ того же инструмента, получившего название Bemstour, и нашли технические подтверждения гипотезе Symantec: Bemstour представляет собой репродукцию эксплойта АНБ EternalRomance. По всей видимости, китайским специалистам удалось его воспроизвести по итогам анализа сетевого трафика, то есть, с помощью высокотехнологичной обратной разработки. «Мы полагаем, что артефакт был перехвачен во время атаки Equation на сеть, находившуюся под мониторингом APT3, что позволило ей расширить свой арсенал эксплойтов, затратив лишь некоторую долю тех ресурсов, что были затрачены на создание оригинального инструмента», — указывается в публикации Check Point.

Впрочем, простым воспроизведением чужой разработки в APT3 не ограничились. Эксплойт EternalRomance позволяет атаковать только Windows 7 и более ранние версии Windows с поддержкой протокола SMBv1; в Windows 8 уязвимость, эксплуатируемая EternalRomance, уже исправлена. А китайские киберразведчики явно интересовались и более новыми версиями операционной системы Microsoft.

«Группа попыталась разработать эксплойт таким образом, чтобы стало возможно атаковать большее количество версий Windows, аналогично параллельной разработке Equation — EternalSynergy, — отметили в Check Point. — Для этого потребовалось найти дополнительную уязвимость нулевого дня, в результате которой происходила утечка данных из ядра операционной системы. Все это указывает на то, что у APT3 не было прямого доступа к инструменту АНБ, в противном случае, им бы не пришлось создавать новый эксплойт нулевого дня».

Уязвимость, которую использует APT3, это CVE-2019-0703, выявленный только в этом году баг в Windows SMB Server.

Кроме того, эксперты отметили, что SMB-пакеты, «повсюду используемые в эксплойте», были созданы вручную, а не сгенерированы с помощью какой-либо сторонней библиотеки. Многие из этих пакетов содержали жестко запрограммированные, но, судя по всему, случайные данные, что свидетельствует о том, что эксплойт пытались воспроизвести, используя ранее перехваченный трафик, причем скорее всего, трафик, проходивший через машину, контролируемую APT3 (возможно, даже ловушку-honeypot).

В конечном счете Bemstour должен обеспечить возможность удаленного запуска произвольного кода на целевой машине; вредоносный код инъектируется в системный процесс с помощью импланта, который сам по себе сильно напоминает другой инструмент АНБ — DoublePulsar, также, очевидно, перехваченный китайцами. APT3 использует основной код DoublePulsar без изменений, просто снабдив его своими собственными средствами шифрования и загрузки.

В обоснование своих доводов эксперты представили обширный технический анализ инструмента Bemstour с описанием принципов его работы и уязвимостей, которые он использует.

«В том, что APT3 смогли перехватить вредоносный код Equation, в общем-то, нет ничего удивительного, — считает Олег Галушкин, директор по информационной безопасности компании SEC Consult Services. К моменту, когда это произошло, существование и использование кибероружия уже было секретом Полишинеля. APT3 достаточно было сделать обоснованное предположение, куда может быть направлена атака в следующий раз, и поставить “капкан”. Интереснее то, что сложнейшую вредоносную программу удалось воспроизвести буквально по оставленным ею следам, что указывает на то, что в распоряжении APT3 весьма незаурядный потенциал».