吳明宜驚爆!NSA的攻擊工具早在揭露前三年就落入中國駭客手中
2016年駭客組織揭露美國國安局(NSA)開發出的攻擊工具,消息震驚全球。不過最新安全公司Checkpoint一項報告更揭露,其實早在3年前就被中國駭客拿到手,之後還複製來進行攻擊美國公司。
2016年,知名駭客組織The Shadow Brokers宣佈竊取到另一個攻擊團隊Equation Group使用的進階攻擊工具,包括EternalBlue、DanderSpritz及EpMe,來自美國國安局(NSA)下的Tailored Access Operation (TAO)開發。
但是根據Checkpoint的研究人員本周公佈的報告顯示,APT 31 2013年開發的攻擊程式「劍」(Jian),其實是Equation Group的EpMe的翻版。「劍」用以開採Windows內編號CVE-2017-2005的零時差漏洞,可用來擴充Windows使用者權限,進行惡意行動,影響Windows XP到Windows 8。這意謂著早在2013年NSA的工具早就流入中國駭客的手中,而非大家以為的2016年。
他們推測,中國駭客可能是在Equation Group對中國或其他目標發動攻擊,也可能是他們攻擊Equation Group網路時取取得了EpMe的32-bit及64-bit樣本後,再結合他們手上的駭客工具,包括多階段封裝工具(packer)成為「劍」,並用來發動攻擊。
值得注意的是2017年,就在1月Shadows Broker公佈他們的發現幾個月內,微軟展開一系列忙亂的修補行動。微軟先是取消了二月的Patch Tuesday,三月間以MS-017安全公告修補了Equation Group開採的漏洞(包括EpMe及Eternal Blue)。兩周後,微軟又修補了「劍」所開採的漏洞CVE-2017-2005。他們是在接獲美國軍武及航太製造商洛克希德馬丁通報才得知,之後微軟的調查才將攻擊來源指向中國的APT 31(或稱Ziroconium)。同年五月微軟又低調修補了Equation Group開採的EpMo攻擊漏洞。
這意謂著,如果推論正確,NSA的工具流至外國敵人手上,再用來攻擊美國國防工業,而且外洩時間比原先公佈的更早了3年。
Checkpoint指出,他們的研究顯示APT組織也可能利用其他APT組織的工具進行攻擊,這讓研究人員更難追溯攻擊源頭,也顯示今天駭客內生態的複雜性,以及外界對此所知之有限。