Les pirates de l’État chinois ont cloné et ont commencé à utiliser un exploit zero-day de la NSA près de trois ans avant que le groupe de hackers Shadow Brokers ne le divulgue publiquement en avril 2017.

EpMe est l’exploit original créé par Equation Group vers 2013 pour un bogue Windows zero-day suivi comme CVE-2017-2005.

La vulnérabilité a été utilisée pour augmenter les privilèges des utilisateurs Windows après avoir accédé aux appareils ciblés, car il s’agit d’un bogue d’escalade de privilèges locaux (LPE) affectant les appareils exécutant Windows XP jusqu’à Windows 8.

Microsoft a corrigé ce bogue de sécurité en mars 2017 et a attribué l’exploitation active au groupe de piratage APT31 soutenu par la Chine.

Volé, cloné et armé

Cependant, APT 31 (également suivi sous le nom de Zirconium) a construit son exploit, surnommé Jian, en reproduisant la fonctionnalité de l’exploit EpMe volé à Equation Group (unité TAO (Tailored Access Operations) de la NSA) comme l’ont révélé les chercheurs de Check Point dans un rapport publié aujourd’hui. .

«À notre grande surprise, nous avons découvert que cet exploit APT31 est en fait une version reconstituée d’un exploit du groupe Equation appelé ‘EpMe’», a déclaré Check Point. « Cela signifie qu’un exploit d’Equation Group a finalement été utilisé par un groupe affilié chinois, probablement contre des cibles américaines. »

Cela a été rendu possible après que les pirates chinois ont capturé des échantillons 32 bits et 64 bits de l’exploit EpMe du groupe Equation.

Une fois répliqué, l’exploit zero-day a été utilisé par APT31 aux côtés d’autres outils de piratage de son arsenal, y compris le packer en plusieurs étapes du groupe.

Microsoft a corrigé la vulnérabilité que Jian a été conçue pour abuser uniquement après que l’IRT de Lockheed Martin a trouvé un échantillon d’exploit dans la nature et l’a partagé avec Microsoft.

Chronologie de Jian
Chronologie de Jian (Point de contrôle)

Pas le premier exploit NSA volé

Bien que ce ne soit pas le premier cas d’un groupe APT soutenu par la Chine utilisant Equation Group zero-days dans leurs attaques, c’est la première fois que des cyber-espions chinois ont pu mettre la main …

Voir la source de cette publication