Китайские хакеры уже много лет используют инструмент NSA EpMe для атак на устройства с ОС Windows.

Об этом факте сообщила компания Check Point. В описании также упоминается теория о том, что если кто-то украдет и использует инструменты, которые используют такие агентства, как АНБ, никакая сеть больше не будет защищена. Другое дело, что это уже произошло.

Shadow Brokers и WannaCry атака

Некоторое время назад группа хакеров под названием Shadow Brokers опубликовала передовые хакерские инструменты. Якобы они исходили из ресурсов подразделений TAO (Tailored Access Operations) и NSA (Агентства национальной безопасности).

Благодаря этим инструментам многие киберпреступные группы начали атаки на корпоративные и агентские сети по всему миру. Одной из самых известных была атака вредоносного ПО WannaCry. За несколько дней вредоносный код попал в 250 000 компьютеров и 150 000 смартфонов. По разным данным, некоторые из его последствий ощущаются и сегодня.

APT31, Zirconium, Judgment Panda

Check Point раскрыла доказательства того, что некая группа хакеров имеет доступ к инструменту под названием EpMe. Он был предназначен для взлома систем Windows. Это инструмент, создание которого приписывают программистам, связанным с АНБ.

Группа, которая якобы имела доступ к этому очень опасному инструменту, называется по-другому, но самые распространенные названия — APT31, Zirconium, Judgment Panda.

Check Point утверждает, что на основе украденного кода эта китайская группа киберпреступников разработала собственное программное обеспечение и использует его с 2014 года! Уязвимость, которую хакеры могли использовать практически беспрепятственно, исправили только в 2017 году. До этого киберпреступники могли установить практически любой код на выбранные компьютеры.

Открытие Lockheed Martin

В 2017 году выяснилось, что на компьютерах Windows, используемых Lockheed Martin, был обнаружен вредоносный код, о чем сразу же было сообщено в Microsoft. Расследование было начато, потому что американские компании, с которыми сотрудничала Lockheed Martin, оказались в опасности.

«Мы нашли неопровержимые доказательства того, что одна из уязвимостей, раскрытых Shadow Brokers, уже каким-то образом попала в руки китайских хакеров. И они не только заполучили её, они изменили назначение и использовали её, возможно, против американских целей. Когда мы получили результаты, мы были шокированы ». Сказал Yaniv Balmas, руководитель отдела кибер-исследований Check Point.

Check Point утверждает, что хакеры использовали программное обеспечение АНБ, но не все. Некоторые части их кода могли быть напрямую скопированы, а некоторые изменены. Также кажется, что они не до конца понимали работу перехваченного ПО.

Особое мнение об инструменте АНБ

Однако есть эксперты, которые спорят с этими утверждениями. Они предполагают, что китайские хакеры использовали обратную инженерию после обнаружения вредоносного кода АНБ в китайских интернет-сетях. Они просто начали его углубленно анализировать и использовали некоторые из его элементов в своих инструментах. Они также связывают деятельность группы с инструментами, которые были раскрыты Shadow Brokers.

Однако стоит учесть, что публичное раскрытие инструментов произошло намного позже действий группы киберпреступников из Китая.

Также следует подчеркнуть, что с 2017 года системы Windows защищены от атак, использующих вышеупомянутые уязвимости. К сожалению, это не утешение для компаний и учреждений, которые давно используют операционные системы Microsoft.