Des hackers chinois ont exploité l’arsenal numérique de la NSA

Spread the love
  • Yum

Des hackers chinois ont exploité l'arsenal numérique de la NSA

Selon les chercheurs, les acteurs malveillants chinois ont “cloné” et utilisé un exploit Windows “zero day” volé au groupe Equation de la NSA pendant des années avant que la faille ne soit corrigée.

Lundi, Check Point Research (CPR) expliquait que cet outil était un “clone” d’un logiciel développé par le groupe Equation de l’Agence de sécurité nationale américaine (NSA), identifié par FireEye en 2015 et décrit comme “l’un des groupes de cyberattaques les plus sophistiqués au monde”.

publicité

Actif depuis au moins 2001, le groupe Equation est identifié comme l’unité Tailored Access Operations (TAO) de l’agence de renseignement américaine.

Le groupe de piratage Shadow Brokers a publié des outils et des fichiers appartenant au groupe Equation en 2017, dont certains ont été utilisés pour exploiter des bugs jusqu’alors inconnus dans des systèmes populaires, obligeant les éditeurs à publier une série de correctifs d’urgence pour rendre les outils d’exploitation inutilisables.

La même année, Microsoft a publié un correctif pour CVE-2017-0005, une vulnérabilité de type “zero day” dans les systèmes d’exploitation Windows XP à Windows 8 qui pouvait être utilisée pour l’élévation de privilèges et la compromission totale du système.

A l’origine, on pensait qu’un outil créé pour exploiter cette faille CVE-2017-0005 était l’œuvre d’un groupe APT (Advanced Persistent Threat) chinois surnommé APT31, également connu sous le nom de Zirconium.

Cependant, Check Point affirme aujourd’hui que l’outil, appelé Jian, était en fait un clone d’un logiciel utilisé par Equation Group et qu’il a été activement utilisé entre 2014 et 2017 – des années avant que la vulnérabilité ne soit corrigée – et qu’il n’avait donc pas été développé sur mesure par des acteurs chinois.

Selon les chercheurs, Jian est un clone d'”EpMe”, qui a également été inclus dans la fuite de 2017 de Shadow Brokers “Lost in Translation” et a été “réorienté” pour attaquer des citoyens américains.

“Les deux versions d’exploitation pour “Jian” d’APT31 ou “EpMe” d’Equation Group sont destinées à […] élever les privilèges de l’attaquant dans l’environnement Windows local”, déclare Check Point Research. “L’outil est utilisé après qu’un attaquant ait obtenu l’accès initial à un ordinateur cible — disons, via une vulnérabilité “zéro-clic”, un courriel d’hameçonnage ou toute autre option — pour donner à l’attaquant les plus hauts privilèges disponibles, afin qu’il puisse “errer librement” et faire ce qu’il veut sur l’ordinateur déjà infecté.”

L’équipe note que Lockheed Martin a signalé la faille CVE-2017-0005 à Microsoft, ce qui, selon eux, est une note “plutôt inhabituelle” dans l’enquête.

“À notre connaissance, c’est la seule vulnérabilité que Lockheed Martin ait signalé ces dernières années”, indique Check Point. “Il est possible que l’un de leurs clients, ou même Lockheed Martin lui-même, ait été visé par cet acteur.”

Un porte-parole de Lockheed Martin a déclaré à ZDNet: “Notre équipe de cybersécurité évalue régulièrement les logiciels et technologies tiers pour identifier les vulnérabilités et les signaler les failles de manière responsable aux développeurs et aux autres parties intéressées. En tirant parti de notre approche de défense basée sur l’intelligence, nous avons signalé de manière responsable plus de 100 vulnérabilités zero day à plusieurs fournisseurs au cours des six dernières années.” 

On pense que le groupe APT31 avait obtenu l’accès au module d’exploitation de l’Equation Group – en versions 32 et 64 bits, et bien que les chercheurs en cybersécurité ne puissent pas savoir avec certitude comment le groupe chinois a obtenu l’exploit, il se peut qu’il ait été récupéré lors d’une attaque de l’Equation Group sur une cible chinoise. Il se peut aussi que l’outil ait été volé alors que l’Equation Group était présent sur un réseau également surveillé par APT31 ou lors d’une attaque directe d’APT31 sur les systèmes de l’Equation Group.

L’enquête sur Jian a également révélé un module contenant quatre exploits d’élévation de privilèges qui faisaient partie du framework de post-exploitation DanderSpritz du groupe Equation.

Deux des exploits du framework, qui remontent à 2013, étaient des failles zero day. L’un des exploits était EpMe, tandis qu’un autre, appelé “EpMo”, semble avoir été discrètement corrigé en mai 2017 par Microsoft suite à la fuite des Shadow Brokers, mais n’a pas reçu de CVE. Les noms de code restants sont EIEi et ErNi.

Ce n’est pas le seul exemple d’un APT chinois volant et réutilisant les outils du groupe Equation. Dans un autre cas documenté par Symantec en 2019, l’APT3 “Buckeye” a été identifié dans des attaques utilisant les outils de l’Equation Group en 2016, avant la fuite des Shadow Brokers.

Alors que Buckeye semble se dissoudre en 2017, les outils ont été utilisés jusqu’en 2018 – mais on ne sait pas s’ils ont été transmis ou non, ni à qui.

Source : “ZDNet.com”

Leave a Reply

%d bloggers like this: