Un grupo de cibercriminales chinos han clonado y utilizado de forma activa como herramienta ofensiva una unidad de ciberseguridad con sede en Estados Unidos llamada Equation Group, según han descubierto investigadores de Check Point Research (CPR), la División de Inteligencia de Amenazas de Check Point Software Technologies.
La compañía de ciberseguridad ha emitido un comunicado para informar sobre ello y subraya que los hackers asiáticos pusieron en funcionamiento el clon APT31 entre 2014 y 2017, tres años antes de que el grupo fuese descubierto.
Según señala, esta herramienta ofensiva fue detectada por primera vez por el equipo de Respuesta a Incidentes de Lockheed Martin y posteriormente, en 2017, Microsoft la detalló. "Era un exploit de upgrade de privilegios de día cero dirigido a ordenadores con Windows XP y hasta Windows 8. En otras palabras, un ciberdelincuente podía utilizar la herramienta ofensiva para obtener los máximos privilegios disponibles, con el fin de hacer lo que quisiera en los ordenadores infectados: instalar programas, ver, cambiar o eliminar datos, o crear nuevas cuentas con plenos derechos de administrador", explica.
Check Point indica que Microsoft parcheó la vulnerabilidad asociada a la herramienta clonada, documentando el parche como CVE-2017-0005 y atribuyendo la explotación, en ese momento, a un grupo de ciberdelincuentes llamado APT31 con sede en China. "Las nuevas pruebas que CPR ha sacado a la luz demuestran que APT31 era la fuente original de dicha herramienta cibernética ofensiva responsable de la vulnerabilidad de día cero (CVE-2017-2005). En su última publicación, CPR ha revelado que la herramienta de APT31 era, de hecho, un clon de una herramienta de ataque, cuyo nombre en código es 'EpMe', desarrollada por el grupo estadounidense Equation Group", prosigue.
La herramienta 'Jian'
Jian es el nombre de la espada de doble filo que se utiliza en China desde hace 2.500 años y CPR ha bautizado así a la herramienta de ataque de Equation Group, dado que fue capturada y reutilizada para servir como "arma de doble filo" para atacar a los estadounidense. La compañía también explica que la herramienta Jian estuvo en funcionamiento durante tres años, entre 2014 y 2017, hasta que se denunció a Microsoft, unos meses antes de que el grupo de ciberdelincuentes 'Shadow Brokers' filtrara públicamente el código de espionaje de autoría de Equation Group (incluyendo el exploit EpMe de CVE-2017-0005).
"Ambas versiones del exploit 'Jian' de APT31 o 'EpMe' de Equation Group están dirigidas a ampliar los privilegios en el entorno local de Windows. Es decir, la herramienta se utilizaba después de que un cibercriminal consiguiera el acceso inicial a un ordenador objetivo, por ejemplo, a través de un correo electrónico de phishing o cualquier otra opción. Entonces, 'Jian' otorga al cibercriminal los máximos privilegios disponibles, para que pudiera hacer lo que quisiera en el ordenador ya infectado", precisa Check Point.
"Durante esta investigación, logramos desentrañar la historia oculta detrás de 'Jian'"
"Como parte de un proyecto en desarrollo, nuestros investigadores de malware y vulnerabilidades revisan y analizan constantemente los exploits de día cero de upgrade de privilegios de Windows, con el fin de mapear y extraer 'huellas digitales'. Éstas se utilizan para atribuir exploits pasados y futuros, lo que nos permite detectar e incluso bloquear ataques desconocidos de desarrolladores ya identificados", ha declarado Yaniv Balmas, Jefe de Investigación de Check Point. "Durante esta investigación en particular, logramos desentrañar la historia oculta detrás de "Jian", un exploit de día cero que anteriormente se atribuía a APT31, revelando que el verdadero origen es en realidad un exploit creado por Equation Group para la misma vulnerabilidad. Aunque "Jian" fue descubierto y evaluado por Microsoft a principios de 2017, todavía se puede aprender mucho del análisis de estos últimos acontecimientos", ha agregado Balmas.
Si desea más información sobre esta investigación, puede consultar la publicación que le ha dedicado Check Point Research en su blog.