Китайские хакеры уже много лет используют инструмент NSA EpMe для атак на устройства с ОС Windows.
Об этом факте сообщила компания Check Point. В описании также упоминается теория о том, что если кто-то украдет и использует инструменты, которые используют такие агентства, как АНБ, никакая сеть больше не будет защищена. Другое дело, что это уже произошло.
Shadow Brokers и WannaCry атака
Некоторое время назад группа хакеров под названием Shadow Brokers опубликовала передовые хакерские инструменты. Якобы они исходили из ресурсов подразделений TAO (Tailored Access Operations) и NSA (Агентства национальной безопасности).
Благодаря этим инструментам многие киберпреступные группы начали атаки на корпоративные и агентские сети по всему миру. Одной из самых известных была атака вредоносного ПО WannaCry. За несколько дней вредоносный код попал в 250 000 компьютеров и 150 000 смартфонов. По разным данным, некоторые из его последствий ощущаются и сегодня.
APT31, Zirconium, Judgment Panda
Check Point раскрыла доказательства того, что некая группа хакеров имеет доступ к инструменту под названием EpMe. Он был предназначен для взлома систем Windows. Это инструмент, создание которого приписывают программистам, связанным с АНБ.
Группа, которая якобы имела доступ к этому очень опасному инструменту, называется по-другому, но самые распространенные названия — APT31, Zirconium, Judgment Panda.
Check Point утверждает, что на основе украденного кода эта китайская группа киберпреступников разработала собственное программное обеспечение и использует его с 2014 года! Уязвимость, которую хакеры могли использовать практически беспрепятственно, исправили только в 2017 году. До этого киберпреступники могли установить практически любой код на выбранные компьютеры.
Открытие Lockheed Martin
В 2017 году выяснилось, что на компьютерах Windows, используемых Lockheed Martin, был обнаружен вредоносный код, о чем сразу же было сообщено в Microsoft. Расследование было начато, потому что американские компании, с которыми сотрудничала Lockheed Martin, оказались в опасности.
«Мы нашли неопровержимые доказательства того, что одна из уязвимостей, раскрытых Shadow Brokers, уже каким-то образом попала в руки китайских хакеров. И они не только заполучили её, они изменили назначение и использовали её, возможно, против американских целей. Когда мы получили результаты, мы были шокированы ». Сказал Yaniv Balmas, руководитель отдела кибер-исследований Check Point.
Check Point утверждает, что хакеры использовали программное обеспечение АНБ, но не все. Некоторые части их кода могли быть напрямую скопированы, а некоторые изменены. Также кажется, что они не до конца понимали работу перехваченного ПО.
Особое мнение об инструменте АНБ
Однако есть эксперты, которые спорят с этими утверждениями. Они предполагают, что китайские хакеры использовали обратную инженерию после обнаружения вредоносного кода АНБ в китайских интернет-сетях. Они просто начали его углубленно анализировать и использовали некоторые из его элементов в своих инструментах. Они также связывают деятельность группы с инструментами, которые были раскрыты Shadow Brokers.
Однако стоит учесть, что публичное раскрытие инструментов произошло намного позже действий группы киберпреступников из Китая.
Также следует подчеркнуть, что с 2017 года системы Windows защищены от атак, использующих вышеупомянутые уязвимости. К сожалению, это не утешение для компаний и учреждений, которые давно используют операционные системы Microsoft.