Китайские хакеры воспроизвели и используют отмычки АНБ
Хакерская группа, известная как APT3 (а также TG-0100, Buckeye и Gothic Panda) получила в свое распоряжение один из печально известных эксплойтов АНБ и после внесения существенных модификаций начала использовать в своих целях. Как утверждают исследователи Check Point, в распоряжение APT3 попал эксплойт EternalRomance, причем произошло это еще до знаменитой утечки 2017 г.
Напомним, в Минюсте США, и других организациях, занимающихся вопросами кибербезопасности, под названием APT3 подразумевают структуру, выступающую в роли подрядчика для Министерства государственной безопасности КНР, штаб-квартира которой находится в Гуанчжоу.
Ранее в 2019 г. эксперты Symantec обнаружили, что APT3/Buckeye в своих атаках использует нечто, до степени смешения напоминающее эксплойт, разработанный группой Equation, которую в ИБ-отрасли давно и прочно связывают с Агентством национальной безопасности США (АНБ).
В Symantec пришли к выводу, что используемый вредонос китайский киберспецназ получил не в результате памятной утечки, когда некие Shadow Brokers попытались продать, а затем просто раздали кибероружие АНБ, а до нее. Более того, APT3 доработала вредонос, в частности, оснастили его эксплойтом для доселе неизвестной уязвимости нулевого дня.
Эксперты Check Point провели дополнительный анализ того же инструмента, получившего название Bemstour, и нашли технические подтверждения гипотезе Symantec: Bemstour представляет собой репродукцию эксплойта АНБ EternalRomance. По всей видимости, китайским специалистам удалось его воспроизвести по итогам анализа сетевого трафика, то есть, с помощью высокотехнологичной обратной разработки. «Мы полагаем, что артефакт был перехвачен во время атаки Equation на сеть, находившуюся под мониторингом APT3, что позволило ей расширить свой арсенал эксплойтов, затратив лишь некоторую долю тех ресурсов, что были затрачены на создание оригинального инструмента», — указывается в публикации Check Point.
Впрочем, простым воспроизведением чужой разработки в APT3 не ограничились. Эксплойт EternalRomance позволяет атаковать только Windows 7 и более ранние версии Windows с поддержкой протокола SMBv1; в Windows 8 уязвимость, эксплуатируемая EternalRomance, уже исправлена. А китайские киберразведчики явно интересовались и более новыми версиями операционной системы Microsoft.
«Группа попыталась разработать эксплойт таким образом, чтобы стало возможно атаковать большее количество версий Windows, аналогично параллельной разработке Equation — EternalSynergy, — отметили в Check Point. — Для этого потребовалось найти дополнительную уязвимость нулевого дня, в результате которой происходила утечка данных из ядра операционной системы. Все это указывает на то, что у APT3 не было прямого доступа к инструменту АНБ, в противном случае, им бы не пришлось создавать новый эксплойт нулевого дня».
Уязвимость, которую использует APT3, это CVE-2019-0703, выявленный только в этом году баг в Windows SMB Server.
Кроме того, эксперты отметили, что SMB-пакеты, «повсюду используемые в эксплойте», были созданы вручную, а не сгенерированы с помощью какой-либо сторонней библиотеки. Многие из этих пакетов содержали жестко запрограммированные, но, судя по всему, случайные данные, что свидетельствует о том, что эксплойт пытались воспроизвести, используя ранее перехваченный трафик, причем скорее всего, трафик, проходивший через машину, контролируемую APT3 (возможно, даже ловушку-honeypot).
В конечном счете Bemstour должен обеспечить возможность удаленного запуска произвольного кода на целевой машине; вредоносный код инъектируется в системный процесс с помощью импланта, который сам по себе сильно напоминает другой инструмент АНБ — DoublePulsar, также, очевидно, перехваченный китайцами. APT3 использует основной код DoublePulsar без изменений, просто снабдив его своими собственными средствами шифрования и загрузки.
В обоснование своих доводов эксперты представили обширный технический анализ инструмента Bemstour с описанием принципов его работы и уязвимостей, которые он использует.
«В том, что APT3 смогли перехватить вредоносный код Equation, в общем-то, нет ничего удивительного, — считает Олег Галушкин, директор по информационной безопасности компании SEC Consult Services. К моменту, когда это произошло, существование и использование кибероружия уже было секретом Полишинеля. APT3 достаточно было сделать обоснованное предположение, куда может быть направлена атака в следующий раз, и поставить “капкан”. Интереснее то, что сложнейшую вредоносную программу удалось воспроизвести буквально по оставленным ею следам, что указывает на то, что в распоряжении APT3 весьма незаурядный потенциал».
В статье ни хенрена не поняв,но первонахнеъ это не отменяет
Падъйом, бецдельнеке!
Гуда пойдём? Иди 1.
Шолома..
Не ходи 1. Ходи 2.
Шолом, сосед дорогой!
Таня с Марой ходяд парой)
Сани тары оне с Тамарой. )
ТаНеМара, ТаТаня.
В каноницском техсте была Тамара. А эти две — с ней. Вишь, целые сани тары везут — помогать страждущим, — вдвоем не справились, втроем только. ))
Мы с Тамарой ходим парой, лесбиянки мы с Тамарой, хехехе
Там их было две. Обе санитарки.
Тамара лечит я реву.
Хехе.
Я, вообще-то, только ОБ ОДНОЙ из них говорил, поскольку только ЕЕ имя там упоминалось, зануда ты непроходимый.
Кста, а как звали вторую? Хехе.
за ну да)
Согласен. Меня пройти трудно.
А зачем тебе?
Имя второй тоже упоминается. Причем сразу.
Так что нинадатут.
«Имя, сестра, имя!» )))
Нет, все-таки ты зануда. Хотя и прав — Таня ее звали. Но речь-то, один пес, не о ней.
Нет. Речь о тебе.
Ты пытаешься обозвать меня занудой а сам плаваешь в основополагающих терминах вселенной стихотворения Сани тарки.
Вселенная ОДНОГО стихотворения? Бгггггг, ты сделал мой день.
А зануда ты потому, что вечно находишь малозначащие детали и приматываешься к ним, как гаец к столбу. Тебе это далеко не я один уже говорил, и далеко не один раз. Отдыхай уже.
PS. И да — имя персонажа не может быть термином. Это тебе занудством по занудству.
Чем тебе не нравится образ вселенной одного стихотворения? Ты что, зануда?)
Микрокосмос одной строчки… галактика строфы…парсеки рефренов…жоосткое излучение пятистопного ямба…гравитационные поля хорея…орбиты рифмы…
Ванятко, не будь занудой, отсыпь всем такого же питерскага немножко.
Таки Ваня прав. Бесконечное в малом возможно.
Только идиоты используют окна в военных и государственных целях. Наше МО давно сидит на Линуксе.
Секта электрических МО?
Они сидят на веществах
Угу, поцселле и сидяд..