La herramienta ofensiva APT31 fue copiada por los ciberdelincuentes chinos como un arma de «doble filo» contra las empresas estadounidenses

Investigadores de Check Point Research, la División de Inteligencia de Amenazas de Check Point® Software Technologies Ltd. (NASDAQ: CHKP), han descubierto que un grupo de cibercriminales chinos clonaron y utilizaron de forma activa como herramienta ofensiva una unidad de ciberseguridad con sede en Estados Unidos llamada Equation Group. El grupo de ciberdelincuentes chino puso en funcionamiento el clon APT31 entre 2014 y 2017, tres años antes de que el grupo fuera descubierto.

Detectada por primera vez por el equipo de Respuesta a Incidentes de Lockheed Martin y luego detallada por Microsoft en 2017, esta herramienta ofensiva era un exploit de upgrade de privilegios de día cero dirigido a ordenadores con Windows XP y hasta Windows 8. En otras palabras, un ciberdelincuente podía utilizar la herramienta ofensiva para obtener los máximos privilegios disponibles, con el fin de hacer lo que quisiera en los ordenadores infectados: instalar programas, ver, cambiar o eliminar datos, o crear nuevas cuentas con plenos derechos de administrador. 

Microsoft parcheó la vulnerabilidad vinculada a la herramienta clonada, documentando el parche como CVE-2017-0005 y atribuyendo la explotación, en ese momento, a un grupo de hackers con sede en China llamado APT31. Las nuevas pruebas que CPR ha sacado a la luz demuestran que APT31 era la fuente original de dicha herramienta cibernética ofensiva responsable de la vulnerabilidad de día cero (CVE-2017-2005). En su última publicación, CPR ha revelado que la herramienta de APT31 era, de hecho, un clon de una herramienta de ataque, cuyo nombre en código es «EpMe», desarrollada por el grupo estadounidense Equation Group. 

Dado que la herramienta de ataque de Equation Group fue capturada y reutilizada para servir como «arma de doble filo» para atacar a los estadounidenses, CPR ha bautizado la herramienta de APT31 como «Jian», nombre de la espada de doble filo que se utiliza en China desde hace 2.500 años. La herramienta «Jian» estuvo en funcionamiento durante tres años, entre 2014-2017, hasta que se denunció a Microsoft, unos meses antes de que el grupo de ciberdelincuentes «Shadow Brokers» filtrara públicamente el código de espionaje de autoría de Equation Group (incluyendo el exploit «EpMe» de CVE-2017-0005).

Ambas versiones del exploit «Jian» de APT31 o «EpMe» de Equation Group están dirigidas a ampliar los privilegios en el entorno local de Windows. Es decir, la herramienta se utilizaba después de que un cibercriminal consiguiera el acceso inicial a un ordenador objetivo, por ejemplo, a través de un correo electrónico de phishing o cualquier otra opción. Entonces, «Jian» otorga al cibercriminal los máximos privilegios disponibles, para que pudiera hacer lo que quisiera en el ordenador ya infectado.

CPR, «EpMo» nunca había sido mencionado públicamente hasta ahora.  Microsoft implementó el parche de EpMo en mayo de 2017 sin CVE-ID aparente.

«Como parte de un proyecto en desarrollo, nuestros investigadores de malware y vulnerabilidades revisan y analizan constantemente los exploits de día cero de upgrade de privilegios de Windows, con el fin de mapear y extraer huellas digitales. Éstas se utilizan para atribuir exploits pasados y futuros, lo que nos permite detectar e incluso bloquear ataques desconocidos de desarrolladores ya identificados. Durante esta investigación en particular, logramos desentrañar la historia oculta detrás de «Jian», un exploit de día cero que anteriormente se atribuía a APT31, revelando que el verdadero origen es en realidad un exploit creado por Equation Group para la misma vulnerabilidad. Aunque «Jian» fue descubierto y evaluado por Microsoft a principios de 2017, todavía se puede aprender mucho del análisis de estos últimos acontecimientos”, señala Yaniv Balmas, Jefe de Investigación de Check Point.