A Check Point Software Technologies izraeli biztonságkutató cég, hétfőn tette közzé bejegyzésében, hogy az APT31 (Zirconium néven is ismert) kínai hackercsoport rosszindulatú programjainak vizsgálata közben bukkantak rá arra a tényre, hogy a kínai hackerek már jóval a 2017-es „The Shadow Brokers” leakelés (szivárogtatás) előtt használták az NSA kódjait Windows rendszerek feltörésére.
Mi is volt a „The Shadow Brokers szivárogtatás”?
A modern és láthatatlan háborúban, ami a világ országai közt állandóan zajlik, a nemzetek olyan kártevőket fejlesztenek, amelyek képesek kihasználni egy futó szoftver hibái adta lehetőséget, így betörhetnek a riválisaik készülékébe.
2016-ban egy magát „The Shadow Brokers”-nek nevező titokzatos hackercsoport bejelentette, hogy számítógépes fegyvereket lopott el a 2001 óta működő Equation Grouptól, ami az Amerikai Egyesült Államok NSA Tailores Access Operations egységéhez köthető kibercsoport.
Az Equation Groupot a Kaspersky Lab biztonsági megoldásokat kínáló cég a világ egyik legkifinomultabb kibertámadási csoportjának tartja. 2015-re mintegy 500 hozzájuk kapcsolódó kártékony program által okozott fertőzést sikerült a cégnek dokumentálnia, melyeket legalább 42 országban használtak.
A „brókerek” úgy döntöttek, hogy 2017-ben nyilvánosságra hozzák ezeknek a fegyvereknek a széles választékát, ezzel lehetővé téve a kiberbűnözők és a rivális nemzetek számára, hogy az Equation Group által fejlesztett veszélyes kódokkal hajtsanak végre digitális betöréseket.
A szivárogtatás a történelem egyik legnagyobb számítógépes kirobbanása volt. A legismertebb közülük a WannaCry zsarolótámadás, amely dollármilliós károkat okozott a szervezeteknek szerte a világon, és amelynek következményei még három évvel a kitörés után is relevánsak.
Ugyanebben az évben a Microsoft kiadott egy javítást a CVE-2017-0005 azonosítóval rendelkező biztonsági réshez.
A sebezhetőség kihasználásával lényegében a Windows rendszerek feletti irányítást lehetett megszerezni. A sérülékenységet a Lockheed Martin Corp. fedezte fel egy ismeretlen harmadik fél hálózatában, tehát az úgynevezett vadonban. Az esetet, amit a kínai APT31-nek tulajdonított, jelentette a Microsoft felé, aki javította rendszerét.
A kártevőt, ami kihasználta a rendszer sérülékenységét „Jian” névre keresztelték a biztonságkutatók.
A napokban ugyanakkor a Check Point kutatásából kiderült, hogy az APT31 által használt Jian valójában az EpMe egy rekonstruált változata. A Check Point afféle „kínai másolatnak” jellemezte. Az ’EpMe’-t vélhetően 2013-ban az NSA Equation Gruop fejlesztette egy sor más kiberfegyverrel együtt. A 2017-es szivárogtatás alkalmával többek között ez a rosszindulatú program is kikerült. Csakhogy a Jian formáját legalább 2015 óta használták, de már 2014 körül rögzítették. Tehát nem a The Shadow Brokers általi szivárgás útján szerezték meg, hanem már jóval korábban. Ez azt jelenti, hogy az Equation Group kizsákmányolását követően a kínai csoport végül a „saját” exploitját használta Amerika ellen.
A jelentés arra enged köveztetni, hogy nem először hackelik meg az NSA rendszerét, ami úgy tűnik, az utóbbi években kezdi elveszíteni az irányátását szoftverei fölött.
