Jian é o nome dado à ferramenta de ataque norte-americana reaproveitada por um grupo de hackers chinês que, atacando um computador, poderia tomar o seu total controlo
Os Investigadores da Check Point Research revelaram que um grupo de hackers chineses, o APT31, clonou uma ferramenta cibernética ofensiva de uma unidade de hackers sediada nos Estados Unidos da América, denominada “Equation Group”. O clone esteve em utilização entre 2014 e 2017, três anos antes do grupo de atacantes ser exposto. A equipa de investigação da Check Point atribuiu à ferramenta clonada o nome “Jian”, em referência à espada reta de dois gumes utilizada na China nos últimos 2.500 anos. Identificada pela primeira vez pela equipa de resposta a incidentes da empresa aeroespacial Lockheed Martin e exposta em detalhe pela Microsoft, em 2017, a ferramenta cibernética estava capacitada para implementar ataques zero-day e elevação de privilégios em computadores com sistemas operativos a começar no Windows XP até ao Windows 8. Por outras palavras, o atacante poderia, através desta ferramenta, movimentar-se livremente em dispositivos infetados, estando apto para instalar programas, visualizar, alterar ou excluir dados e, até, criar novas contas de administrador. A Microsoft lançou a devida patch para a vulnerabilidade ligada à ferramenta cibernética ofensiva, documentando-a enquanto CVE-2017-0005 e atribuindo a sua origem ao grupo de hackers denominado APT31 sediado na China. Novas evidências reveladas pela Check Point Research subvertem agora a assunção de que o APT31 é a fonte original da ferramenta cibernética responsável pela vulnerabilidade CVE-2017-0005. No âmbito da sua mais recente investigação, a Check Point Research revela que esta é, na verdade, um clone de um instrumento de ataque, “EpMe”, desenvolvido pelo Equation Group, dos Estados Unidos. O Equation Group é um agente ameaças altamente sofisticado, suspeito de estar vinculado à unidade de Operações de Acesso Personalizado (TAO) da Agência de Segurança Nacional dos Estados Unidos (NSA). Dado que a ferramenta de ataque do Equation Group foi reaproveitada para atacar americanos, os investigadores da Check Point apelidaram o instrumento de ataque do APT31 de “Jian”, em referência à espada reta de dois gumes utilizada na China nos últimos 2500 anos. A “Jian” esteve operacional durante 3 anos, entre 2014 e 2017, até ser reportada à Microsoft, meses antes do grupo de hackers “Shadow Brokers” divulgar publicamente o código de espionagem da autoria do Equation Group (incluindo do “EpMe”). Ambas as versões da ameaça, “Jian” e “EpMe”, ambicionam cumprir a segunda fase, na qual os privilégios de acesso do invasor são elevados. Após obter acesso inicial – através, por exemplo, de uma vulnerabilidade zero-cliques, um e-mail de phishing ou outro qualquer vetor de ataque – a “Jian” conferirá ao cibercriminoso os mais amplos privilégios no dispositivo infetado. Segundo o que consta do conhecimento da Check Point Research, a vulnerabilidade “EpMo” nunca foi discutida publicamente até agora. A patch para a EpMo foi implementada pela Microsoft em maio de 2017 sem CVE-ID aparente, parecendo ser um efeito colateral da divulgação do grupo “Shadow Brokers”. “Apesar de a ‘Jian’ ter sido identificada e analisada pela Microsoft no início de 2017, e mesmo depois dos Shadow Brokers terem exposto a operação do Equation Group há quase quatro anos, ainda há muito por aprender ao analisar eventos passados. Só o facto de um módulo inteiro de exploração, contendo quatro explorações diferentes, se ter mantido por revelar durante quatro anos no GitHub, ensina-nos muito sobre a enormidade da divulgação em torno das ferramentas do Equation Group”, assinala Yaniv Balmas, Head of Cyber Research, Products - R&D da Check Point. “A nossa investigação é, essencialmente, a demonstração de como um grupo APT está a usar as ferramentas de outro grupo APT para as suas próprias operações, fazendo com que seja mais difícil para os investigadores de segurança avaliar precisamente a natureza e atribuição dos ataques. A nossa esperança é que a nossa mais recente técnica para rastrear vulnerabilidades expostas possa levar a novas conclusões, até agora desconsideradas pela indústria de segurança”, termina o responsável. |