Chinese hackers cloned a Windows security flaw stolen from the NSA
كشف التحقيق في أداة البرمجيات الخبيثة التي يستخدمها المتسللون الصينيون أنها نسخة من برنامج يقال إنه تم تطويره في الأصل بواسطة جزء من وكالة الأمن القومي الأمريكية (National Security Agency NSA).
اعتقد الباحثون الأمنيون في (Check Point Research CPR) في الأصل أن الأداة التي يطلق عليها اسم Jian تم تصميمها خصيصًا من قبل جهات التهديد الصينية. ومع ذلك، كشفت عمليات حفر CPR الإضافية أنها نسخة من برنامج EpMe، الذي استخدمته مجموعة المعادلات Equation Group، والتي يشتبه منذ فترة طويلة في أنها تعمل بناءً على طلب وكالة الأمن القومي.
وفقًا لـ ZDNet، يشير CPR إلى أن "الأداة تُستخدم بعد أن يكتسب المهاجم وصولًا أوليًا إلى جهاز كمبيوتر مستهدف- على سبيل المثال، عبر ثغرة أمنية صفرية أو بريد إلكتروني تصيد أو أي خيار آخر- لمنح المهاجم أعلى الامتيازات المتاحة، حتى يتمكنوا من "التجول بحرية roam free" والقيام بما يحلو لهم على جهاز الكمبيوتر المصاب بالفعل".
تم تسريبها وإعادة توجيهها Leaked and repurposed
يستغل كل من Jian و EpMe ثغرة تصعيد امتيازات Windows التي تم تتبعها على أنها CVE-2017-005. يضيف الباحثون أن الأدوات استغلت الثغرة الأمنية بين عامي 2014 و 2017، قبل أن يتم تصحيحها أخيرًا بواسطة Microsoft.
بينما كان يُعتقد في الأصل أنه تم تصميمه خصيصًا بواسطة مجموعة التهديد المستمر الصينية المتقدمة (APT) المسماة APT31، والمعروفة أيضًا باسم Zirconium، يعتقد الباحثون الآن أن الأداة كانت جزءًا من سلسلة من التسريبات بواسطة مجموعة Shadow Brokers في عام 2017، "أعدت" لمهاجمة المواطنين الأمريكيين.
ومن المثير للاهتمام، أنه تم الإبلاغ عن أن هذا ليس المثال الوحيد على أدوات سرقة وإعادة استخدام APT صينية تم تطويرها في الأصل بواسطة NSA. في حالة أخرى موثقة من قبل شركة Symantec في عام 2019، تم العثور أيضًا على جهات تهديد معروفة باسم Buckeye تستخدم الأدوات التي طورتها Equation Group، قبل تسرب Shadow Brokers.
اعتقد الباحثون الأمنيون في (Check Point Research CPR) في الأصل أن الأداة التي يطلق عليها اسم Jian تم تصميمها خصيصًا من قبل جهات التهديد الصينية. ومع ذلك، كشفت عمليات حفر CPR الإضافية أنها نسخة من برنامج EpMe، الذي استخدمته مجموعة المعادلات Equation Group، والتي يشتبه منذ فترة طويلة في أنها تعمل بناءً على طلب وكالة الأمن القومي.
وفقًا لـ ZDNet، يشير CPR إلى أن "الأداة تُستخدم بعد أن يكتسب المهاجم وصولًا أوليًا إلى جهاز كمبيوتر مستهدف- على سبيل المثال، عبر ثغرة أمنية صفرية أو بريد إلكتروني تصيد أو أي خيار آخر- لمنح المهاجم أعلى الامتيازات المتاحة، حتى يتمكنوا من "التجول بحرية roam free" والقيام بما يحلو لهم على جهاز الكمبيوتر المصاب بالفعل".
تم تسريبها وإعادة توجيهها Leaked and repurposed
يستغل كل من Jian و EpMe ثغرة تصعيد امتيازات Windows التي تم تتبعها على أنها CVE-2017-005. يضيف الباحثون أن الأدوات استغلت الثغرة الأمنية بين عامي 2014 و 2017، قبل أن يتم تصحيحها أخيرًا بواسطة Microsoft.
بينما كان يُعتقد في الأصل أنه تم تصميمه خصيصًا بواسطة مجموعة التهديد المستمر الصينية المتقدمة (APT) المسماة APT31، والمعروفة أيضًا باسم Zirconium، يعتقد الباحثون الآن أن الأداة كانت جزءًا من سلسلة من التسريبات بواسطة مجموعة Shadow Brokers في عام 2017، "أعدت" لمهاجمة المواطنين الأمريكيين.
ومن المثير للاهتمام، أنه تم الإبلاغ عن أن هذا ليس المثال الوحيد على أدوات سرقة وإعادة استخدام APT صينية تم تطويرها في الأصل بواسطة NSA. في حالة أخرى موثقة من قبل شركة Symantec في عام 2019، تم العثور أيضًا على جهات تهديد معروفة باسم Buckeye تستخدم الأدوات التي طورتها Equation Group، قبل تسرب Shadow Brokers.