Kínai hacker csoport támadta meg az amerikai ügynökséget

2021. április 22. 9:02
Több mint négy év telt el azóta, hogy a Shadow Brokers hackeri közzétették az interneten az amerikai Nemzetbiztonsági Ügynökség (NSA) hackereszközeit. Az utóbbi időben több bizonyítékot is találtak arra vonatkozóan, hogy évekkel a Shadow Brokers támadása előtt kínai hackerek egy másik NSA hacker eszközt is megszereztek és évekig használtak.

A Check Point biztonsági cég legfrissebb felfedezése szerint az APT31 néven ismert kínai csoport hozzáférést kapott a Windows hackelési eszközéhez, az EpMe-hez, amelyet az Equation Group hozott létre. A feltárt bizonyítékok szerint a kínai csoport 2014-ben elkészítette a saját hacker eszközét a EpMe kódból, amelyet a Microsoftnak csak 3 évvel később sikerült helyreállítania. Ezáltal az APT31 privilégium-eszkalációs támadást hajtott végre, ami azt jelenti, hogy mélyebb hozzáférést kaptak a feltört rendszer adataihoz, jóval a Shadow Brokers előtt.

Az amerikai Lockhead Martin, repülőgépipari és védelmi technológiákkal foglalkozó cég, csak 2017-ben fedezete fel, hogy a kínai csoport használja a hackelési technikát.

A bizonyítékok arra engednek következtetni, hogy az ellopott hacker eszközt újratervezték és az amerikaiak ellen használták fel. Továbbá kiderült az is, hogy az APT31 hacker eszközét egy olyan amerikai magánszektor hálózatában használják, amely nem része az amerikai védelmi iparnak. A Lockhead Martin kiberbiztonsági csapata már dolgozik azon, hogy minél előbb helyreállítsák a rendszer biztonságát.

Sajnos nem ez az első alkalom, hogy a kínai hackerek felhasználják az NSA hacker eszközét vagy technikáját. 2018-ban a Symantec arról számolt be, hogy kínai hackerek egy csoportja egy másik Windows nulladik napi biztonsági rését is kihasználták, az NSA EternalBlue és EternalRomance hackereszközeiben. Ebben az esetben azonban csak az NSA hálózati kommunikációjához fértek hozzá és a technikákat visszafejtve alkották meg a saját hackereszközüket.

Az APT31 által készített eszköz esetében azonban úgy tűnik, hogy valaki olyan hozta létre, akinek gyakorlati hozzáférése van a Equation Group által megalkotott programhoz és így le tudta másolni a kód egyes részeit. Egy egykori NSA hacker ezek alapján azt állítja, hogy az is elképzelhető, hogy az eszköz eredetileg a kínai hackerektől származik és az NSA vette át tőlük, sőt az is lehet, hogy egy harmadik hacker csoporttól indult az egész.

Szakértők szerint a hackerek egy olyan kínai hálózatból férhettek hozzá a rosszindulatú EpMe programhoz, ahol azt az Equation Group használta egy harmadik fél szerveréről, annak érdekében, hogy ne tudják visszakövetni a program eredetét.

Emellett korábbi Windows privilégium eszkalációs eszközök átvizsgálása közben a szakértők olyan ujjlenyomatokat hoztak létre, amelyekkel azonosíthatják az ügyfelek hálózatában talált hacker csoportok eredetét. Azonban a kutatók legnagyobb meglepetésére az APT31 hacker eszközéből vett ujjlenyomat nem a kínai kóddal egyezett meg, hanem a Shadow Brokers által kiszivárogtatott Equation Group eszközökkel. A Shadow Brokers adatrendszerét átvizsgálva, amelyben az EpMe is megtalálható volt, további három olyan gyengepontot fedeztek fel, amelyek közül kettőt már kijavított a Microsoft, mielőtt azokat a Shadow Brokers közzétette volna. 

Mindezek tükrében jogosan merül fel a kérdés, miszerint a hírszerző ügynökségek biztonságosan megtarthatják-e a nulladik napi sérülékenységüket. A hangsúly talán azon van, hogy hogyan és milyen gyorsan tudnak reagálni az esetleges hacker támadásokra.

A cikket fordította: Krakkai Alexandra
 


Kedvelje a Makronómot Facebookon!



Összesen 1 komment

Jelenleg csak a hozzászólások egy kis részét látja.
Hozzászóláshoz és a további kommentek megtekintéséhez lépjen be, vagy regisztráljon!

A kommentek nem szerkesztett tartalmak, tartalmuk a szerzőjük álláspontját tükrözi.
Hozzászóláshoz és a további kommentek megtekintéséhez lépjen be, vagy regisztráljon!

Bejelentkezés