• ОСТОРОЖНО ФЕЙКИ ФОРУМА!

    В сети появляются фейки нашего форума!

    Будьте бдительны!

    ВНИМАНИЕ НАШИ ДОМЕНЫ ТОЛЬКО

    PROBIV.CC = PROBIV.BIZ = PROBIV.ONE = PROBIV.ME = PROBIV.BZ = PROBIV.XYZ!

    В СЕТИ ТОР ДОМЕН ТОЛЬКО

    probivoz7zxs7fazvwuizub3wue5c6vtcnn6267fq4tmjzyovcm3vzyd.onion

    Напоминаем, что АГ форума не просят деньги в мессенжерах! Все вопросы решаются через форум!

    Будьте внимательны!
  • Внимание !

    На ряде теневых форумов участились случаи взлома аккаунтов, приоритет у взломщиков имеют старые аккаунты и аккаунты с историей, продаются и аккаунты продавцов.

    Будьте внимательны, старайтесь проводить сделки через Гарант-сервис. Если Вы хотите приобрести услугу у продавца или у отлежавшегося аккаунта, требуйте провести сделку через гарант-сервис, при отказе сразу сообщайте АГ форума.

    Настоятельно рекомендуем:

    • Периодически менять пароли
    • Убирать галочку вхождение автоматом в браузере
    • Чистить куки и кеш браузера
    • Использовать двухфакторную аутентификацию
  • АФИША ФОРУМА

    Полезная информация для форумчан:

    FAQ по форуму

    (все самое полезное в одном месте)

    Аттракцион бесплатных проверок

    (помогаем модераторам проводить проверки тем)

    Бесплатный сыр

    (раздел для искушённого пользователя)

    Конкурсы

    (участвуй в конкурсах и получай призы)

Новости Китайские хакеры использовали эксплоит АНБ за несколько лет до утечки The Shadow Brokers

  • Автор темы GLOV
  • Дата начала

GLOV

Опытный
ПРОВЕРЕННЫЙ ПРОДАВЕЦ
Private Club
Старожил

GLOV

Опытный
ПРОВЕРЕННЫЙ ПРОДАВЕЦ
Private Club
Старожил
Регистрация
20/5/18
Сообщения
1.120
Репутация
516
Реакции
1.628
Сделок через гаранта
17
Депозит
57 572 рублей
china-usa-flags-384x220.jpg
В 2017 году группировка The Shadow Brokers похитила хакерский инструментарий АНБ и долгое время пыталась продать его. Затем, когда покупателей не нашлось, хакеры опубликовали большую часть дампа бесплатно, в открытом доступе. Многие читатели наверняка помнят, что тогда, в числе прочего, эксплоиты ETERNALBLUE и DOUBLEPULSAR стали достояние общественности и были использованы для атак на уязвимость в SMB для распространения известного вымогателя WannaCry.

Теперь же исследователи компании Check Point заметили, что китайская хак-группа APT31 (она же Zirconium) использовала эксплоит для Windows-уязвимости CVE-2017-2005 за три года до того момента, как The Shadow Brokers «слила» этот инструмент в открытый доступ, вместе с другими эксплоитами и данными, похищенными у АНБ.


Эксплоит китайских хакеров, о котором идет речь, носит имя Jian. Он представляет собой копию эксплоита EpMe, который разработали и активно использовали с 2014 по 2017 год хакеры из Equation Group (чью деятельность эксперты давно связывают напрямую с АНБ). Когда The Shadow Brokers похитили данные и инструменты АНБ, а затем опубликовали все это в открытом доступе, EpMe тоже стал достоянием общественности. Однако в руки китайцев он попал намного раньше.

«К нашему удивлению, мы обнаружили, что эксплоит APT31 на самом деле представляет собой реконструированную версию эксплоита Equation Group под названием EpMe. А значит, эксплоит Equation Group использовался китайской группой, скорее всего, против целей в США», — пишут исследователи.
Оба инструмента использовались для повышения привилегий в локальной среде Windows. Напомню, что Microsoft исправила уязвимость CVE-2017-0005, которой злоупотребляли Jian и EpMe, но лишь после того, как специалисты компании Lockheed Martin обнаружили работающий образец эксплоита и предоставили его экспертам Microsoft.


Это не первый случай, когда злоумышленники используют инструменты Equation Group в своих атаках, однако первый случай, когда хакеры сумели каким-то образом заполучить образцы эксплоитов и клонировать их в своих целях. Исследователи вспоминают, что ранее группировка APT3 уже применяла собственную версию инструмента EternalSynergy (названную UPSynergy). Однако тогда ИБ-эксперты компании Symantec пришли к выводу, что хакеры воссоздали эксплоит из перехваченного сетевого трафика и не имели на руках исходников.

В свою очередь, APT31 каким-то образом смогла заполучить образцы эксплоита АНБ всех версий, так как Jian был собран с использованием 32-битной и 64-битной версий инструмента EpMe. В Check Point считают, что информация могла попасть в руки китайских хакеров несколькими способами:

  • во время сетевой операции Equation Group против какой-то китайской цели;
  • во время работы Equation Group в сторонней сети, которая контролировалась еще и китайскими хакерами;
  • во время атаки на инфраструктуру Equation Group.
«Наше исследование — это наглядная демонстрация того, как одна APT использует инструменты другой APT для собственных операций, что усложняет ИБ-исследователям задачу точной атрибуции атак, а также демонстрирует, насколько сложна реальность и как мало мы знаем», — резюмируют аналитики Check Point.
 
Сверху Снизу