Hackers chinos accedieron a herramienta de hacking estadounidense antes que se filtrara
El 13 de agosto de 2016, una unidad de hacking llamada “The Shadow Brokers” anunció que había robado herramientas de malware y exploits. Estas herramientas eran utilizadas por Equation Group, un sofisticado actor de amenazas. Se cree que grupo el pertenecía a la unidad Tailored Access Operations (TAO) de la Agencia de Seguridad Nacional de los Estados Unidos (NSA).
Ahora, bien, una nueva evidencia “concluyente” descubierta por Check Point Research muestra que este no fue un incidente aislado.
El robo cibernético previamente indocumentado tuvo lugar más de dos años antes del episodio de Shadow Brokers. Esto según dijo la compañía de ciberseguridad estadounidense-israelí en un informe exhaustivo publicado hoy. El incidente resultó en que las herramientas cibernéticas desarrolladas en Estados Unidos llegaran a manos de una amenaza persistente avanzada china. El grupo luego las reutilizó para atacar objetivos estadounidenses.
“El exploit detectado en el entorno de CVE-2017-0005, un día cero atribuido por Microsoft al APT31 chino (también conocido como Zirconium). Este es de hecho una réplica de un exploit de Equation Group con nombre en código ‘EpMe'”. Esto según señalaron los investigadores de Check Point Eyal Itkin e Itay Cohen.
“APT31 tuvo acceso a los archivos de EpMe, tanto sus versiones de 32 bits como de 64 bits. Esto ocurrió más de dos años antes de la filtración de Shadow Brokers”.
Equation Group fue llamado así por investigadores de la firma de ciberseguridad Kaspersky en febrero de 2015. El grupo se ha relacionado con una serie de ataques que afectaron a “decenas de miles de víctimas” en 2001. Y, algunos de los servidores de comando y control registrados datan desde 1996. Kaspersky llamó al grupo el “creador de la corona del ciberespionaje”.
Un exploit de escalada de privilegios desconocido
Revelada por primera vez en marzo de 2017, CVE-2017-0005 es una vulnerabilidad de seguridad en el componente Windows Win32k. Esta podría permitir la elevación de privilegios (EoP) en sistemas que ejecutan Windows XP y hasta Windows 8. La vulnerabilidad fue reportada a Microsoft por el investigador Lockheed Martin.
Check Point ha nombrado a la variante clonada “Jian” en honor a una espada de doble filo utilizada en China durante los últimos 2,500 años. Esto haciendo referencia a sus orígenes como una herramienta de ataque desarrollada por Equation Group. La herramienta luego fue utilizada para servir como una “una espada de doble filo” para atacar a las entidades estadounidenses.
Se dice que Jian se replicó en 2014 y se puso en funcionamiento desde al menos 2015 hasta que Microsoft corrigió la vulnerabilidad en 2017.
APT31
APT31 es un colectivo de hacking patrocinado por el estado chino. Este lleva a cabo operaciones de reconocimiento a instancias del gobierno chino, especializándose en el robo de propiedad intelectual y la recolección de credenciales. El grupo tuvo actividad reciente dirigidas al personal electoral de Estados Unidos con correos electrónicos de phishing. Los correos contenían enlaces que descargaban un script de Python alojado en GitHub. Este permitpia a un atacante cargar y descargar archivos, así como ejecutar comandos arbitrarios.
Hay que mencionar el framework de post-explotación DanderSpritz contenía cuatro módulos de Windows EoP diferentes. Dos de estos módulos eran zero-days en el momento de su desarrollo en 2013. Check Point dijo que uno de los zero-day, denominado “EpMo”, fue parcheado silenciosamente por Microsoft “sin CVE-ID aparente”. Esto ocurrió en mayo de 2017, en respuesta a la filtración de Shadow Brokers. EpMe fue el otro zero-day.
DanderSpritz fue una de las herramientas de exploits filtradas por Shadow Breakers el 14 de abril de 2017, bajo una filtración titulada “Lost in Translation”. La filtración es más conocida por publicar el exploit EternalBlue que luego impulsó los ataques de ransomware WannaCry y NotPetya. Estos ataques causaron daños por valor de decenas de miles de millones de dólares en más de 65 países.
Esta es la primera vez que un nuevo exploit de Equation Group sale a la luz. No obstante, el código fuente de EpMo es de acceso público en GitHub desde la filtración de hace casi cuatro años.
Por su parte, EpMo se implementó en máquinas que ejecutaban Windows 2000 a Windows Server 2008 R2. Este explotó una vulnerabilidad NULL-Deref en el componente del controlador de impresión en modo de usuario (UMPD) de Graphics Device Interface (GDI).
Superposición de Jian y EpMe
“Además de nuestro análisis de los exploits Equation Group y APT31, el exploit EpMe se alinea perfectamente con los detalles reportados por Microsoft sobre CVE-2017-0005”. “Y si eso no fuera suficiente, el exploit de hecho dejó de funcionar después del parche de marzo de 2017 de Microsoft. Este fue el parche que abordó dicha vulnerabilidad”.
Aparte de esta superposición, se ha descubierto que tanto EpMe como Jian comparten un diseño de memoria idéntico. También comparten las mismas constantes codificadas, lo que da crédito al hecho de que uno de los exploits probablemente se copió del otro. También cabe la posibilidad que ambas partes se inspiraron por un tercero desconocido.
Pero hasta ahora, no hay pistas que aluden a este último, dijeron los investigadores.
Curiosamente, aunque EpMe no era compatible con Windows 2000, el análisis de Check Point descubrió que Jian tenía “casos especiales” para la plataforma. Esto plantea la posibilidad de que APT31 haya copiado el exploit de Equation Group en algún momento de 2014, antes de adaptarlo a sus necesidades. Y, en última instancia, implementar la nueva versión contra objetivos, incluido Lockheed Martin.
El hecho de que Jian, un exploit zero-day previamente atribuido a APT31, sea en realidad una herramienta ofensiva cibernética creada por Equation Group para la misma vulnerabilidad, significa la importancia de la atribución para la toma de decisiones tanto estratégicas como tácticas.
” ‘Jian’ fue detectado y analizado por Microsoft a principios de 2017. Y, aunque la filtración de Shadow Brokers expuso las herramientas de Equation Group hace casi cuatro años, no debemos restarle importancia. Todavía se puede aprender mucho al analizar estos eventos pasados”, dice Cohen.
“El hecho de que un módulo de explotación completo, que contiene cuatro exploits diferentes, haya pasado desapercibido durante cuatro años en GitHub es preocupante. Esto nos enseña el tamaño de la filtración en torno a las herramientas de Equation Group”.
