“Jian” foi o nome dado pelos pesquisadores da Check Point à ferramenta de ataque dos EUA reaproveitada por hackers chineses que, atacando um computador, poderia obter total controle
Os pesquisadores da Check Point Research (CPR), braço de Inteligência em Ameaças da Check Point® Software Technologies Ltd. (NASDAQ: CHKP), uma fornecedora líder de soluções de cibersegurança global, revelam que um grupo de hackers chineses, conhecido por APT31, clonou um código de invasão de uma unidade de hackers sediada nos Estados Unidos, denominada “Equation Group”.
O código clonado esteve em utilização entre o período de 2014 a 2017, três anos antes do grupo de atacantes ser exposto. A equipe de pesquisa da Check Point atribuiu ao código copiado o nome de “Jian”, em referência à espada reta de dois gumes utilizada na China nos últimos 2.500 anos.
Identificada pela primeira vez pela equipe de resposta a incidentes da empresa aeroespacial Lockheed Martin e exposta em detalhes pela Microsoft, em 2017, a ferramenta cibernética estava capacitada para implementar ataques de dia zero e elevação de privilégios em computadores com sistemas operacionais a começar pelo Windows XP até ao Windows 8.
Assim, o atacante poderia, através desta ferramenta, movimentar-se livremente em dispositivos infectados, estando apto para instalar programas, visualizar, alterar ou excluir dados e, até mesmo, criar novas contas de administrador.
A Microsoft lançou a devida correção (patch) para a vulnerabilidade ligada à ferramenta cibernética, documentando-a como CVE-2017-0005, uma vulnerabilidade do Windows LPE, e atribuindo a sua origem ao grupo de hackers chinês APT31.
Novas evidências reveladas pela divisão Check Point Research determinaram que os hackers chineses clonaram e usaram ativamente o código do grupo do “Equation Group” (suspeito de estar vinculado à Agência de Segurança Nacional, a NSA, dos Estados Unidos).
O “EpMe” é o código de exploração do “Equation Group” para a vulnerabilidade CVE-2017-0005, sendo uma das quatro explorações LPE diferentes incluídas no framework de ataque DanderSpritz.
DanderSpritz é a estrutura pós-exploração do “Equation Group” que contém uma ampla variedade de ferramentas para ataques persistentes, reconhecimento, movimento lateral, evitando os mecanismos de antivírus e muito mais. O “EpMe” remonta a pelo menos 2013, quatro anos antes de o APT31 ser flagrado explorando a vulnerabilidade em seu estado original.
Dado que a ferramenta de ataque do “Equation Group” foi reaproveitada para atacar os Estados Unidos, os pesquisadores da Check Point denominaram o instrumento de ataque do APT31 de “Jian”, em referência à espada reta de dois gumes utilizada na China.
A ferramenta “Jian” esteve operacional durante três anos, entre 2014 e 2017, até ser reportada à Microsoft, meses antes do grupo de hackers Shadow Brokers divulgar publicamente o código de espionagem da autoria do “Equation Group” (incluindo o “EpMe”).
Fases de ataque da “Jian”
Um ataque típico usando “Jian” contém três fases:
1. Comprometer o computador que se pretende atacar;
2. Alcançar os mais elevados privilégios de controle;
3. Instalação completa de malware pelo atacante.
Ambas as versões desses ataques, “Jian” e “EpMe”, pretendem cumprir a segunda fase, na qual os privilégios de acesso do atacante são elevados. Após obter acesso inicial – por meio, por exemplo, de uma vulnerabilidade zero-cliques, um e-mail de phishing ou outro qualquer vetor de ataque -, a “Jian” concederá ao cibercriminoso os mais amplos privilégios no dispositivo infectado.
Revelação de exploração de hackers não relatada
A investigação da CPR sobre as raízes da “Jian” levou a uma coleção não documentada de explorações de escalonamento de privilégios que integravam o vazamento do Shadow Brokers em 2017. As quatro explorações compreendem a estrutura pós-exploração DanderSpritz do “Equation Group”, duas das quais passaram despercebidas até agora:
• EpMe – a ameaça de dia zero original para a vulnerabilidade CVE-2017-0005.
• EpMo – uma vulnerabilidade corrigida silenciosamente pela Microsoft após a divulgação pública.
De acordo com levantamento da Check Point Research, a vulnerabilidade “EpMo” nunca foi discutida publicamente até o momento. O patch para a EpMo foi implementada pela Microsoft em maio de 2017 sem CVE-ID aparente, parecendo ser um efeito colateral da divulgação do grupo Shadow Brokers.
“Apesar da ‘Jian’ ter sido identificada e analisada pela Microsoft no início de 2017, e mesmo depois do grupo Shadow Brokers ter exposto a operação do ‘Equation Group’ há quase quatro anos, ainda há muito a aprender ao analisar eventos passados.”
“Só o fato de um módulo inteiro de exploração, contendo quatro explorações diferentes, ter se mantido sem ser notado por quatro anos no GitHub, isso nos ensina muito sobre a magnitude do vazamento em torno dos códigos do ‘Equation Group’ “, destaca Yaniv Balmas, chefe de pesquisa cibernética e produtos (P&D) da Check Point Software Technologies.
“A nossa investigação é, essencialmente, a demonstração de como um grupo APT utiliza os códigos ou as ferramentas de outro grupo de ameaças persistentes avançadas para as suas próprias operações, fazendo com que seja mais difícil aos pesquisadores de segurança avaliar precisamente a natureza e atribuição dos ataques. Contudo, acreditamos que a nossa mais recente técnica para rastrear vulnerabilidades expostas possa nos levar a novas conclusões, até agora desconsideradas pelo setor de segurança”, conclui Balmas.
A Check Point Research fornece inteligência líder em ciberameaças para os clientes da Check Point Software e para a maior comunidade de inteligência em ameaças. A equipe de pesquisas coleta e analisa dados globais de ciberataques armazenados no ThreatCloud para manter os hackers afastados, garantindo que todos os produtos da Check Point sejam atualizados com as mais recentes proteções.
A equipe de pesquisas consiste em mais de 100 analistas e pesquisadores que colaboram com outros fornecedores de segurança, policiais e vários CERTs.
LGPD e a segurança da informação podem auxiliar na prevenção contra ataques de hackers
Sobre a Check Point Software Technologies Ltd.
A Check Point Software Technologies Ltd. (https://www.checkpoint.com/pt/) é um fornecedor líder em soluções de cibersegurança para governos e empresas privadas globalmente. As suas soluções protegem os clientes contra ciberataques de 5ª geração (Gen V) com um índice de captura líder de mercado de malware, ransomware e outros tipos de ataques.
A Check Point oferece arquitetura de segurança multinível “Infinity” Total Protection com prevenção de ameaças avançadas Gen V, que protege as informações de nuvem, rede e dispositivos móveis corporativos. A Check Point fornece o mais abrangente e intuitivo ponto de controle de sistema de gerenciamento de segurança. A Check Point protege mais de 100.000 organizações de todos os portes.
©2021 Check Point Software Technologies Ltd. Todos os direitos reservados.
Sob risco de ataques hackers, indústria aumenta demanda por profissionais de cibersegurança
Plataforma de moedas digitais, aposta em programa de recompensa a hackers