​​Мы много раз писали про утечку Lost in Translation, организо | SecAtor

​​Мы много раз писали про утечку Lost in Translation, организованную весной 2017 года таинственными хактивистами Shadow Brokers, в ходе которой была слита куча данных хакерской группы Equation, работающей на Управление по компьютерным сетевым операциям АНБ США, в то время бывшее Tailored Access Operations (если хотите ознакомиться поподробнее - просто поищите на нашем канале публикации со словом Equation).

В числе прочего Lost in Translation содержала данные боевых эксплойтов американских правительственных хакеров - к примеру, EternalBlue и бэкдор DoublePulsar, использованные в последующем в ransomware WannaCry. В создании которого американское Министерство юстиции теперь публично обвиняет северокорейцев из группы Lazarus, стыдливо умалчивая о первоисточнике эксплуатированных в этом вредоносе уязвимостей.

В мае прошлого года произошло одно интересное событие - исследователи из словацкой ESET копаясь в своей старой телеметрии обнаружили поразительное сходство в коде одного из инструментов, использованного в 2018 году в атаке на разработчика компьютерных игр из Тайланда, приписываемой китайской APT Winnti, с аналогичным кодом из утечки Lost in Translation.

Собственно тогда и возник вопрос - кто у кого что украл? Китайцы ли из Winnti использовали утекшие из АНБ инструменты для взлома? Или Equation украли ранее их у Winnti? И как вообще в таких условиях проводить атрибуцию атак (теперь-то мы знаем как - просто многозначительно показываешь пальцем на назначенного виновника)?

И вот, пока мы со свистом и цыганами праздновали День советской армии и флота, появились новые данные о заимствовании китайскими хакерами принадлежащих АНБ хакерских инструментов. В этот раз нас неожиданно порадовали исследователи из израильской Check Point.

Израильтяне утверждают, что эксплойт Jian, использовавшийся китайской APT 31 aka Zirconium (мы писали про нее, например, здесь), является ни чем иным как клоном принадлежащего АНБ эксплойта EpMe, который утек в составе Lost in Translation. Более того, EpMe активно использовался (понятно кем) в период с 2014 по 2017 годы, задолго до китайцев.

Но и это еще не все. Оба эксплойта используют уязвимость CVE-2017-0005, позволяющую повышать привилегии в Windows, которая (внезапно!) была исправлена Microsoft вскоре после утечки Lost in Translation после как минимум трех лет беспрепятственной эксплуатации. При этом в качестве первоисточника данных о CVE выступил американский оборонный подрядчик Lockheed Martin (не спрашивайте как, они, оказывается, тоже в инфосеке).

Самое удивительное, что кроме эксплойта EpMe в Lost in Translation был еще и эксплойт EpMo, который также использовал уязвимость в Windows, приводящую к повышению привилегий. Так вот этой уязвимости не было даже присвоено CVE, а Microsoft втихаря устранили ее вскоре после утечки.

Таким образом мы в очередной раз получаем подтверждение версии о том, что АНБ, пользуясь административными рычагами, внедряет бэкдоры в выпускаемое аффилированными с США компаниями программное обеспечение. Так было с Juniper, так, очевидно, обстоят дела и с Microsoft.