Hakerskie narzędzie NSA używane przez cyberprzestępców z Chin od 2014 roku

Hakerzy z Chin korzystali od wielu lat z narzędzia EpMe agencji NSA do ataków na urządzenia z systemem Windows.

O tym fakcie poinformowała firma Check Point. W opisie przytoczono także teorię głoszącą, że jeśli ktoś ukradnie i użyje narzędzi, z których korzystają agencje takie jak NSA, to żadna sieć nie będzie już bezpieczna. Inna dotyczy tego, że to się już zdarzyło.

Shadow Brokers i atak WannaCry

Jakiś czas temu, pewna grupa hakerów, która nazywa się Shadow Brokers, opublikowała zaawansowane narzędzia hakerskie. Rzekomo pochodziły one z zasobów jednostek TAO (Tailored Access Operations) i NSA (National Security Agency).

Dzięki tym narzędziom wiele grup cyberprzestępczych poczyniło ataki na sieci firmowe i agencyjne na całym świecie. Jedną z najbardziej znanych był atak malware WannaCry. W kilka dni złośliwy kod znalazł się w w 250 tys. komputerów i 150 tys. smartfonów. Jak donoszą różne źródła, niektóre jego skutki odczuwane są do dziś.

APT31, Zirconium, Judgment Panda

Firma Check Point ujawniła, że ma dowody na to, że pewna grupa hakerska ma dostęp do narzędzia zwanego EpMe. Jego przeznaczeniem było włamywanie się do systemów Windows. Jest to narzędzie, którego stworzenie jest przypisywane programistom związanym z NSA.

Grupa, która rzekomo posiadła dostęp do tego bardzo niebezpiecznego narzędzia, nazywana jest różnie, ale najczęściej występujące nazwy to APT31, Zirconium, Judgment Panda.

Check Point twierdzi, że na podstawie wykradzionego kodu, ta chińska grupa cyberprzestępców stworzyła własne oprogramowanie i korzysta z niego już od 2014 roku! Luka, z której mogli niemal dowolnie korzystać hakerzy, została załatana dopiero w 2017 roku. Do tego czasu cyberprzestępcy mieli możliwość zainstalowania w wybranych komputerach niemal dowolny kod.

Odkrycie Lockheed Martin

W 2017 roku okazało się, że w komputerach z systemem Windows, z których korzystała firma Lockheed Martin, odkryto złośliwy kod, co natychmiast zgłoszono do Microsoftu. Wszczęto śledztwo, gdyż zagrożone były firmy z USA, z którymi współpracował Lockheed Martin.

„Znaleźliśmy niezbity dowód na to, że jeden z exploitów ujawnionych przez Shadow Brokers już w jakiś sposób dostał się w ręce chińskich hakerów. I nie tylko dostali go w swoje ręce, ale zmienili jego przeznaczenie i użyli go, prawdopodobnie przeciwko celom amerykańskim. Kiedy otrzymaliśmy wyniki, byliśmy w szoku”. – powiedział Yaniv Balmas, szef działu badań cybernetycznych w Check Point.

Check Point twierdzi, że hakerzy korzystali z oprogramowania NSA, choć nie całego. Niektóre elementy ich kodu mogły zostać bezpośrednio skopiowane, a niektóre zmienione. Wydaje się też, że nie do końca rozumieli w pełni działanie przechwyconego oprogramowania.

Zdanie odrębne dotyczące narzędzia NSA

Są jednak fachowcy, którzy polemizują z tymi twierdzeniami. Sugerują, że chińscy hakerzy wykorzystali inżynierię wsteczną, po znalezieniu złośliwego kodu NSA w chińskich sieciach internetowych. Po prostu zaczęli je dogłębnie analizować i wykorzystali niektóre jego elementy w swoich narzędziach. Wiążą także działania grupy z narzędziami, które zostały ujawnione przez Shadow Brokers.

Warto jednak wziąć pod uwagę, że publiczne ujawnienie narzędzi nastąpiło dużo później, niż działania grupy cyberprzestępców z Chin.

Podkreślić należy także, że od 2017 roku systemy Windows są zabezpieczone przed atakami wykorzystującymi wspomniane luki. Niestety nie jest to pocieszeniem dla firm i instytucji, które używają systemów operacyjnych Microsoftu od dłuższego czasu.

Więcej o działaniach tej hakerskiej grupy możecie przeczytać na stronach Check Point, a dodatkowo możecie przejrzeć cały raport.

Źródło: Check Point, Wired