Uma vulnerabilidade zero day, desenvolvida pela Agência de Segurança Nacional dos Estados Unidos (NSA) pode ter sido utilizada por cibercriminosos ligados ao governo chinês para espionar os Estados Unidos, anos antes do seu código fonte ter sido vazado na internet.
- Novo malware, novas vítimas, novos investimentos: atualizações do caso SolarWinds
- Japão treina 220 hackers éticos para proteger Jogos Olímpicos de Tóquio
- Microsoft também foi vítima de ataque cibernético que comprometeu a SolarWinds
De acordo com um estudo da Check Point, um malware chinês, o Jian (APT31), foi desenvolvido com base em uma arma cibernética, o EpMe, desesenvolvido pelo Equation Group, possivelmente ligado à NSA.
O Jian foi utilizado pelo APT31 para atacar a fabricante de aeronaves norte-americana, Lockheed Martin. No entanto, segundo os pesquisadores, embora seja quase idêntico ao EpMe, o Jian é mais sofisticado, explora mais vulnerabilidades e foi equipado com mais ferramentas anti-detecção.
"O CVE-2017-0005, um zero-day atribuído pela Microsoft como APT31 chinês (Zircônio), é, na verdade, uma réplica de um exploit do Equation Group com o codinome “EpMe”. O APT31 teve acesso aos arquivos do EpMe, tanto suas versões de 32 bits quanto de 64 bits, mais de 2 anos antes do vazamento do Shadow Brokers", escrevem os pesquisadores Eyal Itkin e Itay Cohen, da Check Point Reasearch.
Os pesquisadores explicam que o EpMe foi desenvolvido em 2013. Entre 2014 e 2015, cibercriminosos chineses, do APT31, financiados pelo governo, desenvolveram o "Jian", descrito como "a espada cibernética de dois gumes chinesa", um clone do EpMe. Já no começo de 2017, um grupo identificado como Shadow Brokers, publicou o código fonte da ferramenta na internet, com objetivo de expor uma parte das ameaças e das práticas anti-éticas realizadas pelo próprio governo dos EUA.
"O APT31 adquiriu as próprias amostras de exploits, em todas as suas versões com suporte. Tendo datado as amostras do APT31 para 3 anos antes do vazamento "Lost in Translation" do Shadow Broker, nossa estimativa é que essas amostras de exploit do Equation Group poderiam ter sido adquiridas pelo APT chinês capturado-o durante uma operação de rede do Equation Group em um alvo chinês; ou capturado durante uma operação do Equation Group em uma rede de terceiros que também foi monitorada pelo APT chinês; ou ele foi capturado pelo APT chinês durante um ataque à infraestrutura do Equation Group", escrevem.
A Microsoft, corrigiu a vulnerabilidade que atingia seu sistema operacional, o Windows, em 2017, depois que o código do EpMe foi vazado.
Fontes: Check Point.