Home / Sécurité / Comment un APT chinois a-t-il obtenu un outil de piratage américain avant la fuite? Check Point a une théorie.

Comment un APT chinois a-t-il obtenu un outil de piratage américain avant la fuite? Check Point a une théorie.

Écrit par

Un groupe chinois de piratage informatique qui utilise des outils en lien avec la National Security Agency pourrait en avoir obtenu au moins un sans enfreindre les systèmes de la NSA, selon des chercheurs de la société de cybersécurité Check Point.

le Groupe de piratage chinois APT3, qui possédait en quelque sorte un outil lié à la NSA avant les fuites publiques en 2016 et 2017, semble l'avoir acquis en analysant le trafic réseau sur un système potentiellement ciblé par la NSA, indique Check Point. La théorie est qu'après avoir observé l'exploit à l'état sauvage, APT3 les chercheurs l'ont intégrée à son propre arsenal d'attaques avec quelques ajustements.

"Check Point a appris que le groupe chinois surveillait les machines internes qui avaient été compromises par la NSA, capturait le trafic de l'attaque et s'en servait pour faire de l'ingénierie inverse des vulnérabilités logicielles", écrivent les chercheurs.

Point de contrôle reconnaît qu'il «ne peut le prouver au-delà de tout doute». La société affirme ne pas savoir avec certitude que le trafic réseau a été utilisé comme référence pour créer un exploit chinois basé sur l'outil lié à la NSA, mais indique des indices les paquets Windows Server Message Block (SMB) dans la version APT3 de l'outil. Windows SMB est un protocole de communication utilisé par les ordinateurs personnels pour le partage de fichiers ou les services distants, ce qui en fait une cible attrayante pour les pirates.

La possession par la Chine d'outils liés à la NSA avant les fuites de 2016 et 2017 – pour laquelle un mystérieux groupe connu sous le nom de Courtiers d'ombres prend le crédit – a été à l'origine signalé par Symantec. Mais on ne sait toujours pas comment les Chinois sont entrés en possession de ces exploits.

Selon Check Point, il est possible que les propres machines du groupe chinois aient été ciblées par l’exploit en question. C’est ainsi que les pirates l’ont observé et réutilisé. Il est également possible qu'une machine que les Chinois avaient compromise et surveillaient ait été simultanément visée par la NSA, affirment les chercheurs. Une autre possibilité est que les Chinois installent une machine exprès pour surveiller les attaques liées à la NSA, puis l’emprunter aux prouesses techniques du gouvernement américain, indique le rapport.

La recherche de la société n’exclut pas non plus complètement un autre accès indirect au matériel de la NSA – une possibilité que un rapport Symantec précédent reconnu aussi. La NSA partage également des outils avec ses alliés, et APT3 aurait pu remarquer l'exploit, car l'un d'entre eux visait ses machines. Il est également possible qu'un autre groupe sophistiqué ait indépendamment découvert la même vulnérabilité et créé le même exploit, que les Chinois ont ensuite réutilisé.

Les commandants militaires américains reconnaissent que, chaque fois que des équipes américaines déploient un exploit, celui-ci pourrait se retrouver entre les mains d'adversaires.

Le directeur des capacités et de l'intégration des ressources du Cyber ​​Command des États-Unis, le général Karl Gingrich, a déclaré aux journalistes lors d'un briefing à Fort Meade, dans le Maryland, que la protection des outils contre le vol est une «priorité… mais en fin de journée David Luber, directeur exécutif de l'US Cyber ​​Command, a déclaré à la presse à l'époque: «il y a toujours un calcul du risque dans toutes les opérations que nous menons dans Cyber ​​Command».

Qu'est-ce que Check Point a vu?

Check Point, une multinationale ayant son siège aux États-Unis et en Israël, a analysé les paquets SMB de l’outil et les a comparés à la version diffusée ultérieurement.

"Les paquets SMB sous-jacents utilisés tout au long de l'exécution de l'outil ont été conçus manuellement par les développeurs, plutôt que générés à l'aide d'une bibliothèque tierce", notent les chercheurs. «Comme beaucoup de ces paquets ont été assignés avec des données codées en dur et apparemment arbitraires, ainsi que l’existence d’autres artefacts SMB uniques codés en dur, nous pouvons supposer que les développeurs essayaient de recréer l’exploit en fonction du trafic précédemment enregistré.

APT3 semble alors avoir pris l'outil qu'il a vu, l'outil EternalRomance lié à la NSA, un exploit qui cible les versions antérieures de Windows, et l'a développé pour le cibler davantage sur le nombre de systèmes exécutant du code à distance.

L'outil développé par APT3, que Check Point appelle UPSynergy, semble capitaliser sur la même vulnérabilité qu'EternalRomance, CVE-2017-0145. Les vulnérabilités des PME font partie de l’exploit d’EternalRomance. Les Chinois l'ont ensuite combiné avec une "fuite d'informations" exploit du jour zéro pour cibler les nouveaux systèmes d'exploitation, indique Check Point.

La combinaison des exploits montre que les Chinois empruntent une page du livre de jeu de la NSA, selon Check Point; EternalSynergy, l'un des outils liés à la NSA divulgués par Shadow Brokers, combine également deux exploits.

Eternal Romance et UPSynergy ont tous deux utilisé un implant de porte dérobée lié à la NSA, appelé DoublePulsar cela a également été divulgué par les Shadow Brokers.

«Les artefacts d'attaque d'un rival ont été utilisés par APT3 pour créer des capacités offensives internes», écrivent les chercheurs de Check Point.

<! –

->

Source

About admin

Check Also

Dark Overlord soupçonne le suspect de se battre contre l’extradition vers les États-Unis n’a plus d’options.

Écrit par Jeff Stone 15 novembre 2019 | CYBERSCOOP Un membre présumé de l'équipe de …

Laisser un commentaire