Hackers chinos clonaron una falla de seguridad de Windows robada a la NSA

La investigación sobre una herramienta de malware utilizada por piratas informáticos chinos ha revelado que se trata de una copia de un software desarrollado originalmente por parte de la Agencia de Seguridad Nacional de los Estados Unidos (NSA).

Los investigadores de seguridad de Check Point Research (CPR) originalmente pensaron que la herramienta llamada Jian fue creada a medida por los actores de amenazas chinos. Sin embargo, una investigación adicional de RCP reveló que es un clon del software EpMe, que fue utilizado por Equation Group, que durante mucho tiempo se sospechó que operaba a instancias de la NSA.

Según ZDNet, CPR señala que «la herramienta se usa después de que un atacante obtiene acceso inicial a una computadora de destino, por ejemplo, a través de una vulnerabilidad de clic cero, correo electrónico de phishing o cualquier otra opción, para otorgar al atacante los privilegios más altos disponibles, para que puedan «deambular libremente» y hacer lo que quieran en la computadora ya infectada «.

Filtrado y reutilizado

Tanto Jian como EpMe explotan la vulnerabilidad de escalada de privilegios de Windows rastreada como CVE-2017-005. Los investigadores añaden que las herramientas explotaron la vulnerabilidad entre 2014 y 2017, antes de que finalmente fuera parcheada por Microsoft.

Si bien originalmente se pensó que fue creada a medida por un grupo de amenazas persistentes avanzadas (APT) chino llamado APT31, también conocido como Zirconium, los investigadores ahora creen que la herramienta fue parte de una serie de filtraciones del grupo Shadow Brokers en 2017. Fue entonces «. reutilizado «para atacar a ciudadanos estadounidenses.

Curiosamente, se informa que este no es el único ejemplo de una APT china que roba y reutiliza herramientas desarrolladas originalmente por la NSA. En otro caso documentado por Symantec en 2019, también se descubrió que los actores de amenazas conocidos como Buckeye estaban utilizando herramientas desarrolladas por Equation Group, antes de la filtración de Shadow Brokers.

Vía: ZDNet