متابعات-ميكسي نيوز
متسللون صينيون استخدموا أداة اختراق…..في 13 أغسطس 2016 ، أعلنت وحدة القرصنة التي تسمي نفسها “The Shadow Prokers” أنها سُرقت أدوات ومآثر البرامج الضارة التي تستخدمها مجموعة المعادلة ، وهي ممثل تهديد متطور يعتقد أنه تابع لوحدة عمليات الوصول المخصصة (TAO) في وكالة الأمن القومي الأمريكية (NSA).
بالرغم من المجموعة منذ ذلك الحين وقعت بعد الإفصاحات غير المسبوقة ، تظهر الأدلة “الحاسمة” الجديدة التي اكتشفتها أبحاث Point أن هذا لم يكن حادثًا معزولًا ، وأن ممثلي التهديد الآخرين قد تمكنوا من الوصول إلى بعض الأدوات نفسها قبل نشرها.
قالت شركة الأمن السيبراني الأمريكية الإسرائيلية في تقرير شامل نشرت اليوم ، مما أدى إلى إضفاء الطابعين على الأهداف الأمريكية ، مما أدى إلى إضفاء الطابعين على الأهداف الأمريكية ، مما أدى إلى أن تصل إلى أدوات الإنترنت التي تم تطويرها في الولايات المتحدة التي تصل إلى الأهداف الأمريكية التي تم تطويرها من أجل الأهداف الأمريكية.
“إن استغلال CVE-2017-0005 ، وهو يوم صفر يعزى إليه Microsoft إلى APT31 الصيني (المعروف أيضًا باسم الزركونيوم) ، هو في الواقع نسخة طبق الأصل من مجموعة معادلة استغلال اسم” EPME “،” “EPME” ، “” نقطة الفحص وقال الباحثون إيال إيتين وإيتي كوهين. “تمكن APT31 من إمكانية الوصول إلى ملفات EPME ، على حد سواء إصداراتها 32 بت و 64 بت ، قبل أكثر من عامين قبل تسرب سماسرة الظل”.
تم ربط مجموعة المعادلة ، ما يسمى بباحثين من شركة الأمن السيبراني Kaspersky في فبراير 2015 ، بسلسلة من الهجمات التي تؤثر مُسَمًّى المجموعة “Crown Creator of Cyberespionage”.
استغلال امتياز غير معروف
كشفت لأول مرة في مارس 2017 ، CVE-2017-0005 هو ثغرة أمنية في مكون Windows Win32K الذي يمكن أن يسمح برفع الامتيازات (EOP) في الأنظمة التي تعمل بنظام Windows XP وحتى Windows 8. كان العيب ذكرت إلى Microsoft من قبل فريق الاستجابة لحوادث الكمبيوتر في لوكهيد مارتن.
قامت Check Point بتسمية البديل المستنسخ “Jian” بعد سيف مستقيم ذو حدين يستخدم في الصين خلال 2500 عام الماضية ، مع الإشارة إلى أصوله كأداة هجوم طورتها مجموعة المعادلة التي تم تنفيذها بعد ذلك لتكون بمثابة “سيف مزدوج الحدين” لمهاجمة الكيانات الأمريكية.
 |
| الجدول الزمني للأحداث التي تفصل قصة EPME / Jian / CVE-2017-0005 |
يقال إن جيان قد تم تكراره في عام 2014 وتم تشغيله منذ عام 2015 على الأقل حتى تم تصحيح الخلل الأساسي بواسطة Microsoft في عام 2017.
APT31، وهي مجموعة من القرصنة التي ترعاها الدولة ، يُزعم أنها تجري عمليات استطلاع بناءً على طلب الحكومة الصينية ، متخصصة في سرقة الملكية الفكرية وحصد الاعتماد ، مع الحملات الأخيرة استهداف موظفي الانتخابات الأمريكية مع رسائل البريد الإلكتروني التي تحتوي على الرمح التي تحتوي على روابط من شأنها تنزيل عملية زرع قائم على Python المستضاف على Github ، مما يسمح للمهاجم بتحميل الملفات وتنزيلها بالإضافة إلى تنفيذ الأوامر التعسفية.
ذكرت أن إطار عمل Danderspritz بعد استغلاله احتوى على أربع وحدات مختلفة من Windows EOP ، اثنتان منها كانت أيام الصفر في وقت تطورها في عام 2013 ، قال Check Point إن أحد أيام الصفر-التي أطلق عليها اسم “EPMO”-تم تصحيحها بصمت بواسطة Microsoft “دون أي cve-id في مايو 2017 استجابةً لبرنامج بروكو. كان EPME آخر يوم صفر.
كان Danderspritz من بين العديد من أدوات الاستغلال التي تسربتها The Shadow Breakers في 14 أبريل 2017 ، تحت إرسال بعنوان “Lost in Translation”. يشتهر التسرب بنشر استغلال EternalBlue الذي من شأنه أن يعمل في وقت لاحق على التهابات WannaCry و Notpetya Ransomware التي تسببت في عشرات المليارات من الأضرار التي لحقت بأكثر من 65 دولة.
هذه هي المرة الأولى جيثب منذ التسرب منذ ما يقرب من أربع سنوات.
من جانبها ، تم نشر EPMO في الآلات التي تعمل على تشغيل Windows 2000 إلى Windows Server 2008 R2 عن طريق استغلال ثغرة أمنية خالية في واجهة جهاز الرسومات (GDI) وضع المستخدم طباعة برنامج تشغيل (UMPD).
يتداخل جيان و EPME
“علاوة على تحليلنا لكل من مجموعة المعادلة و APT31 ، يتوافق استغلال EPME بشكل مثالي مع التفاصيل المذكورة في مدونة Microsoft على CVE-2017-0005” ، أشار الباحثون. “وإذا لم يكن ذلك كافيًا ، فقد توقف الاستغلال بالفعل عن العمل بعد تصحيح Microsoft March 2017 ، وهو التصحيح الذي تناول الضعف المذكور.”
بصرف النظر عن هذا التداخل ، فقد تم العثور على كل من EPME و Jian لتبادل تخطيط ذاكرة متطابق ونفس الثوابت المعروضة ، مما يضفي مصداقية على حقيقة أن أحد المآثر قد تم نسخه على الأرجح من الآخر ، أو أن كلا الطرفين كانت مستوحاة من طرف ثالث غير معروف.
لكن حتى الآن ، لا توجد أدلة تشير إلى هذا الأخير.
ومن المثير للاهتمام ، على الرغم من أن EPME لم تدعم Windows 2000 ، فقد كشف تحليل Check Point عن أن Jian لديه “حالات خاصة” للمنصة ، مما يثير احتمال نسخ APT31 للاستغلال من مجموعة المعادلة في مرحلة ما من عام 2014 ، قبل أن تعديلها لتناسب احتياجاتهم ونشر النسخة الجديدة في نهاية المطاف ضد الأهداف ، بما في ذلك Lockhead Martin.
تم التوصل إلى التعليق ، وقال المتحدث باسم لوكهيد مارتن “يقيم فريق الأمن السيبراني لدينا بشكل روتيني برامج وتقنيات الطرف الثالث لتحديد نقاط الضعف والإبلاغ عنها بمسؤولية للمطورين والأطراف المهتمة الأخرى.”
بالإضافة إلى ذلك ، قال مصدر مطلع على الأبحاث الإلكترونية من شركة Lockheed Martin وتقاريره لصحيفة Hacker News أن الضعف Windows تم العثور عليه على شبكة الطرف الثالث لم يكشف عن اسمه-وليس بمفرده أو سلسلة التوريد الخاصة به-كجزء من خدمات مراقبة التهديدات التي توفرها للكيانات الأخرى.
ليست المرة الأولى
إن نتائج Check Point ليست المرة الأولى التي يختطف فيها المتسللون الصينيون ترسانة NSA من مآثر NSA. في مايو 2019 ، Symantec’s Broadcom ذكرت أن مجموعة القرصنة الصينية تسمى APT3 (أو Buckeye) كانت قد أعادت أيضًا معادلة الباب الخلفي المرتبط NSA بالتسلل إلى قطاعات الاتصالات والوسائط والتصنيع.
ولكن على عكس APT31 ، أشار تحليل Symantec إلى أن ممثل التهديد قد صمم نسخته الخاصة من الأدوات من القطع الأثرية الموجودة في اتصالات الشبكة التي تم التقاطها ، وربما نتيجة لمراقبة هجوم مجموعة المعادلة في العمل.
إن أن Jian ، وهو استغلال ليوم الصفر الذي يعزى مسبقًا إلى APT31 ، هو في الواقع أداة هجومية الإنترنت التي أنشأتها مجموعة المعادلة لنفس الضعف يدل على أهمية الإسناد لكل من اتخاذ القرارات الاستراتيجية والتكتيكية.
وقال كوهين: “على الرغم من أن” جيان “تم القبض عليه وتحليله من قبل Microsoft في بداية عام 2017 ، وعلى الرغم من أن وسطاء الظل يتسربون من أدوات مجموعة المعادلة المكشوفة منذ ما يقرب من أربع سنوات ، لا يزال هناك الكثير الذي يمكن للمرء أن يتعلمه من تحليل هذه الأحداث الماضية”.
“مجرد حقيقة أن وحدة الاستغلال بأكملها ، التي تحتوي على أربع مآثر مختلفة ، كانت تكذب فقط دون أن يلاحظها أحد منذ أربع سنوات على جيثب ، تعلمنا ضخامة التسرب حول أدوات مجموعة المعادلة.”
