Китайские хакеры воспроизвели и используют отмычки АНБ

Хакерская группа, известная как APT3 (а также TG-0100, Buckeye и Gothic Panda) получила в свое распоряжение один из печально известных эксплойтов АНБ и после внесения существенных модификаций начала использовать в своих целях. Как утверждают исследователи Check Point, в распоряжение APT3 попал эксплойт EternalRomance, причем произошло это еще до знаменитой утечки 2017 г.

Напомним, в Минюсте США, и других организациях, занимающихся вопросами кибербезопасности, под названием APT3 подразумевают структуру, выступающую в роли подрядчика для Министерства государственной безопасности КНР, штаб-квартира которой находится в Гуанчжоу.

Ранее в 2019 г. эксперты Symantec обнаружили, что APT3/Buckeye в своих атаках использует нечто, до степени смешения напоминающее эксплойт, разработанный группой Equation, которую в ИБ-отрасли давно и прочно связывают с Агентством национальной безопасности США (АНБ).

В Symantec пришли к выводу, что используемый вредонос китайский киберспецназ получил не в результате памятной утечки, когда некие Shadow Brokers попытались продать, а затем просто раздали кибероружие АНБ, а до нее. Более того, APT3 доработала вредонос, в частности, оснастили его эксплойтом для доселе неизвестной уязвимости нулевого дня.

Эксперты Check Point провели дополнительный анализ того же инструмента, получившего название Bemstour, и нашли технические подтверждения гипотезе Symantec: Bemstour представляет собой репродукцию эксплойта АНБ EternalRomance. По всей видимости, китайским специалистам удалось его воспроизвести по итогам анализа сетевого трафика, то есть, с помощью высокотехнологичной обратной разработки. «Мы полагаем, что артефакт был перехвачен во время атаки Equation на сеть, находившуюся под мониторингом APT3, что позволило ей расширить свой арсенал эксплойтов, затратив лишь некоторую долю тех ресурсов, что были затрачены на создание оригинального инструмента», — указывается в публикации Check Point.

Впрочем, простым воспроизведением чужой разработки в APT3 не ограничились. Эксплойт EternalRomance позволяет атаковать только Windows 7 и более ранние версии Windows с поддержкой протокола SMBv1; в Windows 8 уязвимость, эксплуатируемая EternalRomance, уже исправлена. А китайские киберразведчики явно интересовались и более новыми версиями операционной системы Microsoft.

«Группа попыталась разработать эксплойт таким образом, чтобы стало возможно атаковать большее количество версий Windows, аналогично параллельной разработке Equation — EternalSynergy, — отметили в Check Point. — Для этого потребовалось найти дополнительную уязвимость нулевого дня, в результате которой происходила утечка данных из ядра операционной системы. Все это указывает на то, что у APT3 не было прямого доступа к инструменту АНБ, в противном случае, им бы не пришлось создавать новый эксплойт нулевого дня».

Уязвимость, которую использует APT3, это CVE-2019-0703, выявленный только в этом году баг в Windows SMB Server.

Кроме того, эксперты отметили, что SMB-пакеты, «повсюду используемые в эксплойте», были созданы вручную, а не сгенерированы с помощью какой-либо сторонней библиотеки. Многие из этих пакетов содержали жестко запрограммированные, но, судя по всему, случайные данные, что свидетельствует о том, что эксплойт пытались воспроизвести, используя ранее перехваченный трафик, причем скорее всего, трафик, проходивший через машину, контролируемую APT3 (возможно, даже ловушку-honeypot).

В конечном счете Bemstour должен обеспечить возможность удаленного запуска произвольного кода на целевой машине; вредоносный код инъектируется в системный процесс с помощью импланта, который сам по себе сильно напоминает другой инструмент АНБ — DoublePulsar, также, очевидно, перехваченный китайцами. APT3 использует основной код DoublePulsar без изменений, просто снабдив его своими собственными средствами шифрования и загрузки.

В обоснование своих доводов эксперты представили обширный технический анализ инструмента Bemstour с описанием принципов его работы и уязвимостей, которые он использует.

«В том, что APT3 смогли перехватить вредоносный код Equation, в общем-то, нет ничего удивительного, — считает Олег Галушкин, директор по информационной безопасности компании SEC Consult Services. К моменту, когда это произошло, существование и использование кибероружия уже было секретом Полишинеля. APT3 достаточно было сделать обоснованное предположение, куда может быть направлена атака в следующий раз, и поставить “капкан”. Интереснее то, что сложнейшую вредоносную программу удалось воспроизвести буквально по оставленным ею следам, что указывает на то, что в распоряжении APT3 весьма незаурядный потенциал».

Источник материала
Настоящий материал самостоятельно опубликован в нашем сообществе пользователем Proper на основании действующей редакции Пользовательского Соглашения. Если вы считаете, что такая публикация нарушает ваши авторские и/или смежные права, вам необходимо сообщить об этом администрации сайта на EMAIL abuse@newru.org с указанием адреса (URL) страницы, содержащей спорный материал. Нарушение будет в кратчайшие сроки устранено, виновные наказаны.

You may also like...

новее старее
Уведомление о
Прорэбе
Прорэбе

В статье ни хенрена не поняв,но первонахнеъ это не отменяет

Прорэбе
Прорэбе

Падъйом, бецдельнеке!

Ոሉαዙҿτα ಭҿҝҿሉҿʓяҝα〄
Ոሉαዙҿτα ಭҿҝҿሉҿʓяҝα〄

Гуда пойдём? Иди 1.
Шолома..

alex_cr
alex_cr

Не ходи 1. Ходи 2.
Шолом, сосед дорогой!

Ոሉαዙҿτα ಭҿҝҿሉҿʓяҝα〄
Ոሉαዙҿτα ಭҿҝҿሉҿʓяҝα〄

Таня с Марой ходяд парой)

alex_cr
alex_cr

Сани тары оне с Тамарой. )

Ոሉαዙҿτα ಭҿҝҿሉҿʓяҝα〄
Ոሉαዙҿτα ಭҿҝҿሉҿʓяҝα〄

ТаНеМара, ТаТаня.

alex_cr
alex_cr

В каноницском техсте была Тамара. А эти две — с ней. Вишь, целые сани тары везут — помогать страждущим, — вдвоем не справились, втроем только. ))

Kokunov
Kokunov

Мы с Тамарой ходим парой, лесбиянки мы с Тамарой, хехехе

Ванёк26
Ванёк26

Там их было две. Обе санитарки.
Тамара лечит я реву.
Хехе.

alex_cr
alex_cr

Я, вообще-то, только ОБ ОДНОЙ из них говорил, поскольку только ЕЕ имя там упоминалось, зануда ты непроходимый.
Кста, а как звали вторую? Хехе.

Ոሉαዙҿτα ಭҿҝҿሉҿʓяҝα〄
Ոሉαዙҿτα ಭҿҝҿሉҿʓяҝα〄

за ну да)

Ванёк26
Ванёк26

Согласен. Меня пройти трудно.
А зачем тебе?

Ванёк26
Ванёк26

Имя второй тоже упоминается. Причем сразу.
Так что нинадатут.

alex_cr
alex_cr

«Имя, сестра, имя!» )))
Нет, все-таки ты зануда. Хотя и прав — Таня ее звали. Но речь-то, один пес, не о ней.

Ванёк26
Ванёк26

Нет. Речь о тебе.
Ты пытаешься обозвать меня занудой а сам плаваешь в основополагающих терминах вселенной стихотворения Сани тарки.

alex_cr
alex_cr

Вселенная ОДНОГО стихотворения? Бгггггг, ты сделал мой день.
А зануда ты потому, что вечно находишь малозначащие детали и приматываешься к ним, как гаец к столбу. Тебе это далеко не я один уже говорил, и далеко не один раз. Отдыхай уже.

PS. И да — имя персонажа не может быть термином. Это тебе занудством по занудству.

Ванёк26
Ванёк26

Чем тебе не нравится образ вселенной одного стихотворения? Ты что, зануда?)

Gena
Gena

Микрокосмос одной строчки… галактика строфы…парсеки рефренов…жоосткое излучение пятистопного ямба…гравитационные поля хорея…орбиты рифмы…
Ванятко, не будь занудой, отсыпь всем такого же питерскага немножко.

Capuchin
Capuchin

Таки Ваня прав. Бесконечное в малом возможно.

Тимо-фей
Тимо-фей

Только идиоты используют окна в военных и государственных целях. Наше МО давно сидит на Линуксе.

Прорэбе
Прорэбе

Секта электрических МО?
Они сидят на веществах

Ոሉαዙҿτα ಭҿҝҿሉҿʓяҝα〄
Ոሉαዙҿτα ಭҿҝҿሉҿʓяҝα〄

Угу, поцселле и сидяд..

Чтобы добавить комментарий, надо залогиниться.