Kínai hacker csoport támadta meg az amerikai ügynökséget

A Check Point biztonsági cég legfrissebb felfedezése szerint az APT31 néven ismert kínai csoport hozzáférést kapott a Windows hackelési eszközéhez, az EpMe-hez, amelyet az Equation Group hozott létre. A feltárt bizonyítékok szerint a kínai csoport 2014-ben elkészítette a saját hacker eszközét a EpMe kódból, amelyet a Microsoftnak csak 3 évvel később sikerült helyreállítania. Ezáltal az APT31 privilégium-eszkalációs támadást hajtott végre, ami azt jelenti, hogy mélyebb hozzáférést kaptak a feltört rendszer adataihoz, jóval a Shadow Brokers előtt.

A bizonyítékok arra engednek következtetni, hogy az ellopott hacker eszközt újratervezték és az amerikaiak ellen használták fel. Továbbá kiderült az is, hogy az APT31 hacker eszközét egy olyan amerikai magánszektor hálózatában használják, amely nem része az amerikai védelmi iparnak. A Lockhead Martin kiberbiztonsági csapata már dolgozik azon, hogy minél előbb helyreállítsák a rendszer biztonságát.

Sajnos nem ez az első alkalom, hogy a kínai hackerek felhasználják az NSA hacker eszközét vagy technikáját. 2018-ban a Symantec arról számolt be, hogy kínai hackerek egy csoportja egy másik Windows nulladik napi biztonsági rését is kihasználták, az NSA EternalBlue és EternalRomance hackereszközeiben. Ebben az esetben azonban csak az NSA hálózati kommunikációjához fértek hozzá és a technikákat visszafejtve alkották meg a saját hackereszközüket.

Az APT31 által készített eszköz esetében azonban úgy tűnik, hogy valaki olyan hozta létre, akinek gyakorlati hozzáférése van a Equation Group által megalkotott programhoz és így le tudta másolni a kód egyes részeit. Egy egykori NSA hacker ezek alapján azt állítja, hogy az is elképzelhető, hogy az eszköz eredetileg a kínai hackerektől származik és az NSA vette át tőlük, sőt az is lehet, hogy egy harmadik hacker csoporttól indult az egész.

Emellett korábbi Windows privilégium eszkalációs eszközök átvizsgálása közben a szakértők olyan ujjlenyomatokat hoztak létre, amelyekkel azonosíthatják az ügyfelek hálózatában talált hacker csoportok eredetét. Azonban a kutatók legnagyobb meglepetésére az APT31 hacker eszközéből vett ujjlenyomat nem a kínai kóddal egyezett meg, hanem a Shadow Brokers által kiszivárogtatott Equation Group eszközökkel. A Shadow Brokers adatrendszerét átvizsgálva, amelyben az EpMe is megtalálható volt, további három olyan gyengepontot fedeztek fel, amelyek közül kettőt már kijavított a Microsoft, mielőtt azokat a Shadow Brokers közzétette volna. 

Mindezek tükrében jogosan merül fel a kérdés, miszerint a hírszerző ügynökségek biztonságosan megtarthatják-e a nulladik napi sérülékenységüket. A hangsúly talán azon van, hogy hogyan és milyen gyorsan tudnak reagálni az esetleges hacker támadásokra.

A cikket fordította: Krakkai Alexandra