L’enquête sur un logiciel malveillant utilisé par des pirates chinois a révélé qu’il s’agissait d’une copie d’un logiciel qui aurait été initialement développé par une partie de la National Security Agency (NSA) des États-Unis.
Les chercheurs en sécurité de Check Point Research (CPR) pensaient à l’origine que l’outil baptisé Jian avait été construit sur mesure par des acteurs chinois. Cependant, des fouilles supplémentaires de CPR ont révélé qu’il s’agit d’un clone du logiciel EpMe, qui a été utilisé par le groupe Equation, qui a longtemps été soupçonné d’opérer à la demande de la NSA.
Selon ZDNet, CPR note que «l’outil est utilisé après qu’un attaquant a obtenu l’accès initial à un ordinateur cible – par exemple, via une vulnérabilité sans clic, un e-mail de phishing ou toute autre option – pour donner à l’attaquant les privilèges disponibles les plus élevés, afin qu’il puisse « roam free » et faites ce qu’ils veulent sur l’ordinateur déjà infecté. «
Sommaire
Fuite et réutilisée
Jian et EpMe exploitent la vulnérabilité d’escalade de privilèges Windows suivie comme CVE-2017-005. Les chercheurs ajoutent que les outils ont exploité la vulnérabilité entre 2014 et 2017, avant qu’elle ne soit finalement corrigée par Microsoft.
Alors que l’on pensait à l’origine avoir été construit sur mesure par un groupe chinois de menaces persistantes avancées (APT) appelé APT31, également connu sous le nom de Zirconium, les chercheurs pensent maintenant que l’outil faisait partie d’une série de fuites par le groupe Shadow Brokers en 2017. C’était alors » réutilisé « pour attaquer les citoyens américains.
Fait intéressant, il est rapporté que ce n’est pas le seul exemple d’un APT chinois volant et réutilisant des outils développés à l’origine par la NSA. Dans un autre cas documenté par Symantec en 2019, des acteurs de la menace connus sous le nom de Buckeye utilisaient également des outils développés par Equation Group, avant la fuite de Shadow Brokers.
Via: ZDNet
