adam121 - Fotolia
APT china utilizó un exploit robado de la NSA durante años
El informe de Check Point detalla cómo un exploit de día cero acreditado a un grupo de amenazas de un estado-nación chino "es de hecho una réplica de un exploit de Equation Group con el nombre en código EpMe".
Un grupo de amenazas de un estado-nación clonó y usó un arma cibernética del gobierno de los EE.UU. años antes de que fuera expuesta por los Shadow Brokers en 2017.
Un grupo de amenazas persistentes avanzadas con sede en China, conocido como APT31 o Zirconium, utilizó un exploit de día cero de Windows que pertenece al Equation Group, una APT estadounidense que se entiende ampliamente como parte del grupo de Operaciones de Acceso a Medida de la Agencia de Seguridad Nacional (NSA) –y lo usó durante varios años, según una investigación publicada por Check Point Software Technologies el lunes 22 de febrero.
El nuevo informe, titulado "La historia de Jian: cómo APT31 robó y usó un día 0 desconocido de Equation Group", explica cómo un día cero "atribuido por Microsoft al APT31 chino (circonio), es de hecho una réplica de un exploit de Equation Group llamado 'EpMe'. El clon, apodado "Jian" por Check Point, fue creado en 2014 y utilizado desde 2015 hasta que fue descubierto en un ataque al contratista gubernamental Lockheed Martin en 2017. Microsoft reveló y parcheó la vulnerabilidad de escalada de privilegios, CVE-2017-0005, en marzo de 2017.
EpMe fue parte del marco de ataque DanderSpritz de Equation Group que incluye una amplia variedad de herramientas de piratería y cuatro exploits de escalada de privilegios locales, incluidos EpMe junto con ElEi, ErNi y EpMo (los cuatro son abreviaturas de nombres de código interno más grandes). La investigación de Check Point también hace referencia a los módulos "NtElevation" dentro de DanderSpritz responsables de elevar los privilegios de los implantes de malware.
Pero estas herramientas de piratería, junto con otras, fueron expuestas por actores de amenazas que se refieren a sí mismos como los Shadow Brokers. El grupo surgió por primera vez en 2016, lanzando públicamente un caché de armas cibernéticas y exploits pertenecientes al Equation Group de la NSA. The Shadow Brokers continuaron lanzando estas herramientas de piratería en 2017, incluido un caché conocido como "Lost in Translation" en 2017.
Descubierto por primera vez hace seis años, Equation Group es conocido por su gran número de ciberataques internacionales, así como por su autoría del exploit EternalBlue, que luego fue utilizado por los actores de amenazas en los ciberataques de WannaCry y Petya. Kaspersky informó inicialmente de sus prácticas en 2015 y The Shadow Brokers las divulgó en una serie de filtraciones entre 2016 y 2017.
Orígenes de EpMe y EpMo
No está claro cómo los actores de amenazas chinos tomaron posesión del exploit de EpMe. En el informe, los investigadores de Check Point teorizaron que EpMe se obtuvo a través de una operación de Equation Group en un objetivo chino; una operación de Equation Group en una red de terceros también supervisada por la APT china; o un ataque APT31 contra la infraestructura de Equation Group.
Si bien el título del informe usa la palabra "robo", un portavoz de Check Point dijo que es difícil determinar si APT31 u otro grupo obtuvieron el exploit al infiltrarse en los servidores de Equation Group.
"Creemos que las dos primeras opciones son más probables, pero no sabemos con certeza cómo fue exactamente el exploit adquirido por APT31", dijo el vocero. "En teoría, dado que los archivos de Equation Group filtrados datan de 2013, es posible que quien haya filtrado los archivos pueda compartirlos con otras entidades".
X0rz, un investigador de seguridad anónimo que ha analizado la actividad de Shadow Brokers, le dijo a nuestra publicación hermana SearchSecurity a través de un mensaje directo de Twitter que es poco probable que los actores de amenazas chinos descubrieran la vulnerabilidad por su cuenta o la obtuvieran a través de un corredor de día cero porque "Jian" compartió artefactos de EpMe y otras hazañas de DanderSpritz. "APT31 probablemente lo obtuvo de la respuesta a incidentes, el análisis de RAM o la captura de paquetes", dijeron.
En el momento en que se reveló y parcheó EpMe en marzo de 2017, la falla no fue identificada como una de las vulnerabilidades expuestas por Shadow Brokers. Al mismo tiempo, Microsoft también pareció corregir una falla para EpMo, un exploit de escalada de privilegios similar para Windows, pero los investigadores de Check Point dijeron que no pudieron encontrar una identificación de Vulnerabilidades y Exposiciones Comunes (CVE) para esa vulnerabilidad.
Los investigadores de Check Point también notaron que EpMo, a diferencia de los otros exploits de la NSA filtrados por Shadow Brokers, nunca se discutió públicamente hasta la investigación de Check Point, a pesar de ser de acceso público en publicaciones de GitHub desde 2017, incluida una de x0rz.
X0rz dijo a través de un mensaje directo que "no tenían idea" de por qué no se había informado sobre EpMo anteriormente, aunque mencionaron que era un exploit de escalada de privilegios local (LPE). "LPE significa que ya necesita ejecutar código en su objetivo, por lo que es menos 'peligroso' que Eternalblue o DoublePuslar", dijeron.
Un portavoz de Check Point le dijo a SearchSecurity vía correo electrónico que el estado recién descubierto de EpMo puede ser el resultado de que el exploit fue enterrado en la filtración "Lost in Translation" de los Shadow Brokers.
"Hasta donde logramos encontrar, parece que somos los primeros en analizar todo el módulo de explotación ‘NtElevation’ de DanderSpritz. Esto incluye todos los exploits contenidos en él, incluido EpMo", escribió el portavoz. "Creemos que como estaba enterrado en el basurero, otros exploits como Eternal Blue recibieron la atención del público, especialmente cuando se colocaron en una carpeta con el nombre claro de 'Exploits'".
El director de noticias de seguridad Rob Wright contribuyó a este informe.
Alexander Culafi es un escritor, periodista y podcaster con sede en Boston.