Un acteur chinois de la menace connu sous le nom d’APT31 a probablement acquis et cloné l’un des exploits d’Equation Group trois ans avant que la vulnérabilité ciblée ne soit publiquement révélée dans le cadre de la fuite «Lost in Translation» de Shadow Brokers, indique la société de cybersécurité Check Point dans un nouveau rapport.

Suivi comme CVE-2017-0005, la vulnérabilité a été corrigée par Microsoft en mars 2017, après que l’équipe de réponse aux incidents informatiques de Lockheed Martin a observé une attaque possible contre une cible américaine et l’a signalée au géant de la technologie basé à Redmond.

Attribuée à APT31, un groupe de piratage chinois également suivi sous le nom de Zirconium, l’exploit de cette vulnérabilité est, en fait, le clone d’un exploit du groupe Equation nommé «EpMe», explique Check Point.

Les outils d’exploitation que le groupe Equation utilisait depuis des années ont été rendus publics début 2017 par un groupe mystérieux se faisant appeler Shadow Brokers. Le groupe Equation a été lié à l’unité des opérations d’accès sur mesure (TAO) de la National Security Agency (NSA) des États-Unis.

Les Shadow Brokers, qui, selon certains, étaient soutenus par la Russie, affirmaient à l’époque avoir obtenu les outils après une intrusion dans les systèmes d’Equation Group. Ils ont publié plusieurs séries d’exploits gratuitement, mais ont également tenté de monétiser les données.

En mars 2017, Microsoft a corrigé CVE-2017-0005, une vulnérabilité Windows locale d’escalade de privilèges (LPE) qui avait été activement exploitée par un acteur chinois. Appelé Jian et attribué à APT31, l’exploit de cette vulnérabilité est désormais considéré comme le clone d’un exploit d’Equation Group qui ciblait la même faille de sécurité.

Daté de 2013, l’exploit original porte le nom de code EpMe et fait partie des 4 différents exploits LPE (ElEi, ErNi, EpMe et EpMo) dans le cadre d’attaque DanderSpritz du groupe Equation qui a été divulgué publiquement en avril 2017. Ces exploits ne pas recevoir la même couverture qu’Eternal …

Voir la source de cette publication