Китайские хакеры воспроизвели и используют отмычки АНБ

Хакерская группа, известная как APT3 (а также TG-0100, Buckeye и Gothic Panda) получила в свое распоряжение один из печально известных эксплойтов АНБ и после внесения существенных модификаций начала использовать в своих целях. Как утверждают исследователи Check Point, в распоряжение APT3 попал эксплойт EternalRomance, причем произошло это еще до знаменитой утечки 2017 г.

Напомним, в Минюсте США, и других организациях, занимающихся вопросами кибербезопасности, под названием APT3 подразумевают структуру, выступающую в роли подрядчика для Министерства государственной безопасности КНР, штаб-квартира которой находится в Гуанчжоу.

Ранее в 2019 г. эксперты Symantec обнаружили, что APT3/Buckeye в своих атаках использует нечто, до степени смешения напоминающее эксплойт, разработанный группой Equation, которую в ИБ-отрасли давно и прочно связывают с Агентством национальной безопасности США (АНБ).

В Symantec пришли к выводу, что используемый вредонос китайский киберспецназ получил не в результате памятной утечки, когда некие Shadow Brokers попытались продать, а затем просто раздали кибероружие АНБ, а до нее. Более того, APT3 доработала вредонос, в частности, оснастили его эксплойтом для доселе неизвестной уязвимости нулевого дня.

Эксперты Check Point провели дополнительный анализ того же инструмента, получившего название Bemstour, и нашли технические подтверждения гипотезе Symantec: Bemstour представляет собой репродукцию эксплойта АНБ EternalRomance. По всей видимости, китайским специалистам удалось его воспроизвести по итогам анализа сетевого трафика, то есть, с помощью высокотехнологичной обратной разработки. «Мы полагаем, что артефакт был перехвачен во время атаки Equation на сеть, находившуюся под мониторингом APT3, что позволило ей расширить свой арсенал эксплойтов, затратив лишь некоторую долю тех ресурсов, что были затрачены на создание оригинального инструмента», — указывается в публикации Check Point.

Впрочем, простым воспроизведением чужой разработки в APT3 не ограничились. Эксплойт EternalRomance позволяет атаковать только Windows 7 и более ранние версии Windows с поддержкой протокола SMBv1; в Windows 8 уязвимость, эксплуатируемая EternalRomance, уже исправлена. А китайские киберразведчики явно интересовались и более новыми версиями операционной системы Microsoft.

«Группа попыталась разработать эксплойт таким образом, чтобы стало возможно атаковать большее количество версий Windows, аналогично параллельной разработке Equation — EternalSynergy, — отметили в Check Point. — Для этого потребовалось найти дополнительную уязвимость нулевого дня, в результате которой происходила утечка данных из ядра операционной системы. Все это указывает на то, что у APT3 не было прямого доступа к инструменту АНБ, в противном случае, им бы не пришлось создавать новый эксплойт нулевого дня».

Уязвимость, которую использует APT3, это CVE-2019-0703, выявленный только в этом году баг в Windows SMB Server.

Кроме того, эксперты отметили, что SMB-пакеты, «повсюду используемые в эксплойте», были созданы вручную, а не сгенерированы с помощью какой-либо сторонней библиотеки. Многие из этих пакетов содержали жестко запрограммированные, но, судя по всему, случайные данные, что свидетельствует о том, что эксплойт пытались воспроизвести, используя ранее перехваченный трафик, причем скорее всего, трафик, проходивший через машину, контролируемую APT3 (возможно, даже ловушку-honeypot).

В конечном счете Bemstour должен обеспечить возможность удаленного запуска произвольного кода на целевой машине; вредоносный код инъектируется в системный процесс с помощью импланта, который сам по себе сильно напоминает другой инструмент АНБ — DoublePulsar, также, очевидно, перехваченный китайцами. APT3 использует основной код DoublePulsar без изменений, просто снабдив его своими собственными средствами шифрования и загрузки.

В обоснование своих доводов эксперты представили обширный технический анализ инструмента Bemstour с описанием принципов его работы и уязвимостей, которые он использует.

«В том, что APT3 смогли перехватить вредоносный код Equation, в общем-то, нет ничего удивительного, — считает Олег Галушкин, директор по информационной безопасности компании SEC Consult Services. К моменту, когда это произошло, существование и использование кибероружия уже было секретом Полишинеля. APT3 достаточно было сделать обоснованное предположение, куда может быть направлена атака в следующий раз, и поставить “капкан”. Интереснее то, что сложнейшую вредоносную программу удалось воспроизвести буквально по оставленным ею следам, что указывает на то, что в распоряжении APT3 весьма незаурядный потенциал».

Источник материала
Настоящий материал самостоятельно опубликован в нашем сообществе пользователем Proper на основании действующей редакции Пользовательского Соглашения. Если вы считаете, что такая публикация нарушает ваши авторские и/или смежные права, вам необходимо сообщить об этом администрации сайта на EMAIL abuse@newru.org с указанием адреса (URL) страницы, содержащей спорный материал. Нарушение будет в кратчайшие сроки устранено, виновные наказаны.

You may also like...

23 Комментарий
старые
новые
Встроенные Обратные Связи
Все комментарии
✡Ոթℴթ∋চҿ✡
✡Ոթℴթ∋চҿ✡
1 год назад

В статье ни хенрена не поняв,но первонахнеъ это не отменяет

✡Ոթℴթ∋চҿ✡
✡Ոթℴթ∋চҿ✡
1 год назад

Падъйом, бецдельнеке!

i РобаД〄
i РобаД〄
для  ✡Ոթℴթ∋চҿ✡
1 год назад

Гуда пойдём? Иди 1.
Шолома..

ᚤᚳᛊᚷ_ᛈᚱ
ᚤᚳᛊᚷ_ᛈᚱ
для  ✡Ոթℴթ∋চҿ✡
1 год назад

Не ходи 1. Ходи 2.
Шолом, сосед дорогой!

i РобаД〄
i РобаД〄
для  ᚤᚳᛊᚷ_ᛈᚱ
1 год назад

Таня с Марой ходяд парой)

ᚤᚳᛊᚷ_ᛈᚱ
ᚤᚳᛊᚷ_ᛈᚱ
для  i РобаД〄
1 год назад

Сани тары оне с Тамарой. )

i РобаД〄
i РобаД〄
для  ᚤᚳᛊᚷ_ᛈᚱ
1 год назад

ТаНеМара, ТаТаня.

ᚤᚳᛊᚷ_ᛈᚱ
ᚤᚳᛊᚷ_ᛈᚱ
для  i РобаД〄
1 год назад

В каноницском техсте была Тамара. А эти две — с ней. Вишь, целые сани тары везут — помогать страждущим, — вдвоем не справились, втроем только. ))

Kokunov
Kokunov
для  ᚤᚳᛊᚷ_ᛈᚱ
1 год назад

Мы с Тамарой ходим парой, лесбиянки мы с Тамарой, хехехе

Ванёк26
Ванёк26
для  ᚤᚳᛊᚷ_ᛈᚱ
1 год назад

Там их было две. Обе санитарки.
Тамара лечит я реву.
Хехе.

ᚤᚳᛊᚷ_ᛈᚱ
ᚤᚳᛊᚷ_ᛈᚱ
для  Ванёк26
1 год назад

Я, вообще-то, только ОБ ОДНОЙ из них говорил, поскольку только ЕЕ имя там упоминалось, зануда ты непроходимый.
Кста, а как звали вторую? Хехе.

i РобаД〄
i РобаД〄
для  ᚤᚳᛊᚷ_ᛈᚱ
1 год назад

за ну да)

Ванёк26
Ванёк26
для  ᚤᚳᛊᚷ_ᛈᚱ
1 год назад

Согласен. Меня пройти трудно.
А зачем тебе?

Ванёк26
Ванёк26
для  ᚤᚳᛊᚷ_ᛈᚱ
1 год назад

Имя второй тоже упоминается. Причем сразу.
Так что нинадатут.

ᚤᚳᛊᚷ_ᛈᚱ
ᚤᚳᛊᚷ_ᛈᚱ
для  Ванёк26
1 год назад

«Имя, сестра, имя!» )))
Нет, все-таки ты зануда. Хотя и прав — Таня ее звали. Но речь-то, один пес, не о ней.

Ванёк26
Ванёк26
для  ᚤᚳᛊᚷ_ᛈᚱ
1 год назад

Нет. Речь о тебе.
Ты пытаешься обозвать меня занудой а сам плаваешь в основополагающих терминах вселенной стихотворения Сани тарки.

ᚤᚳᛊᚷ_ᛈᚱ
ᚤᚳᛊᚷ_ᛈᚱ
для  Ванёк26
1 год назад

Вселенная ОДНОГО стихотворения? Бгггггг, ты сделал мой день.
А зануда ты потому, что вечно находишь малозначащие детали и приматываешься к ним, как гаец к столбу. Тебе это далеко не я один уже говорил, и далеко не один раз. Отдыхай уже.

PS. И да — имя персонажа не может быть термином. Это тебе занудством по занудству.

Ванёк26
Ванёк26
для  ᚤᚳᛊᚷ_ᛈᚱ
1 год назад

Чем тебе не нравится образ вселенной одного стихотворения? Ты что, зануда?)

Gena
Gena
для  Ванёк26
1 год назад

Микрокосмос одной строчки… галактика строфы…парсеки рефренов…жоосткое излучение пятистопного ямба…гравитационные поля хорея…орбиты рифмы…
Ванятко, не будь занудой, отсыпь всем такого же питерскага немножко.

Capuchin
Capuchin
для  Gena
1 год назад

Таки Ваня прав. Бесконечное в малом возможно.

Тимо-фей
Тимо-фей
1 год назад

Только идиоты используют окна в военных и государственных целях. Наше МО давно сидит на Линуксе.

✡Ոթℴթ∋চҿ✡
✡Ոթℴթ∋চҿ✡
для  Тимо-фей
1 год назад

Секта электрических МО?
Они сидят на веществах

i РобаД〄
i РобаД〄
для  ✡Ոթℴթ∋চҿ✡
1 год назад

Угу, поцселле и сидяд..

Чтобы добавить комментарий, надо залогиниться.