Identificada pela primeira vez pela equipa de resposta a incidentes da empresa aeroespacial Lockheed Martin e exposta em detalhe pela Microsoft, em 2017, a ferramenta cibernética estava capacitada para implementar ataques zero-day e elevação de privilégios em computadores com sistemas operativos a começar no Windows XP até ao Windows 8. Por outras palavras, o atacante poderia, através desta ferramenta, movimentar-se livremente em dispositivos infetados, estando apto para instalar programas, visualizar, alterar ou excluir dados e, até, criar novas contas de administrador.

A Microsoft lançou a devida patch para a vulnerabilidade ligada à ferramenta cibernética ofensiva, documentando-a enquanto CVE-2017-0005 e atribuindo a sua origem ao grupo de hackers denominado APT31 sediado na China. Novas evidências reveladas pela Check Point Research subvertem agora a assunção de que o APT31 é a fonte original da ferramenta cibernética responsável pela vulnerabilidade CVE-2017-0005. No âmbito da sua mais recente investigação, a Check Point Research revela que esta é, na verdade, um clone de um instrumento de ataque, “EpMe”, desenvolvido pelo Equation Group, dos Estados Unidos. O Equation Group é um agente ameaças altamente sofisticado, suspeito de estar vinculado à unidade de Operações de Acesso Personalizado (TAO) da Agência de Segurança Nacional dos Estados Unidos (NSA).

Dado que a ferramenta de ataque do Equation Group foi reaproveitada para atacar americanos, os investigadores da Check Point apelidaram o instrumento de ataque do APT31 de “Jian”, em referência à espada reta de dois gumes utilizada na China nos últimos 2500 anos. A “Jian” esteve operacional durante 3 anos, entre 2014 e 2017, até ser reportada à Microsoft, meses antes do grupo de hackers “Shadow Brokers” divulgar publicamente o código de espionagem da autoria do Equation Group (incluindo do “EpMe”).

Fases de ataque da “Jian”

Um ataque típico desta ferramenta inclui, por norma, 3 fases:

1. Comprometer o computador que se pretende atacar
2. Alcançar os mais amplos privilégios de controlo
3. Instalação integral de malware pelo atacante

Ambas as versões da ameaça, “Jian” e “EpMe”, ambicionam cumprir a segunda fase, na qual os privilégios de acesso do invasor são elevados. Após obter acesso inicial – através, por exemplo, de uma vulnerabilidade zero-cliques, um e-mail de phishing ou outro qualquer vetor de ataque – a “Jian” conferirá ao cibercriminoso os mais amplos privilégios no dispositivo infetado.

Revelação de ameaça por explorar

A investigação da Check Point Research às raízes da Jian levou a uma coleção não documentada de ameaças de elevação de privilégios que integravam a divulgação levada a cabo pelo grupo Shadow Brokers em 2017. As 4 ameaças incluem a estrutura pós-exploração do Equation Group, duas das quais passaram despercebidas, até agora:

1. EpMe – a ameaça de zero-day original para a vulnerabilidade CVE-2017-0005
2. EpMo – uma vulnerabilidade corrigida silenciosamente pela Microsoft após a divulgação pública

Segundo o que consta do conhecimento da Check Point Research, a vulnerabilidade “EpMo” nunca foi discutida publicamente até agora. A patch para a EpMo foi implementada pela Microsoft em maio de 2017 sem CVE-ID aparente, parecendo ser um efeito colateral da divulgação do grupo “Shadow Brokers”.

“Apesar da ‘Jian’ ter sido identificada e analisada pela Microsoft no início de 2017, e mesmo depois dos Shadow Brokers terem exposto a operação do Equation Group há quase 4 anos, ainda há muito por aprender ao analisar eventos passados. Só o facto de um módulo inteiro de exploração, contendo 4 explorações diferentes, se ter mantido por revelar durante 4 anos no GitHub, ensina-nos muito sobre a enormidade da divulgação em torno das ferramentas do Equation Group”, assinala Yaniv Balmas, Head of Cyber Research, Products - R&D da Check Point. “A nossa investigação é, essencialmente, a demonstração de como um grupo APT está a usar as ferramentas de outro grupo APT para as suas próprias operações, fazendo com que seja mais difícil para os investigadores de segurança avaliar precisamente a natureza e atribuição dos ataques. A nossa esperança é que a nossa mais recente técnica para rastrear vulnerabilidades expostas possa levar a novas conclusões, até agora desconsideradas pela indústria de segurança,” termina o responsável.