吳明宜2016 年駭客組織揭露美國國安局 (NSA) 開發出的攻擊工具,消息震驚全球。不過最新安全公司 Checkpoint 一項報告更揭露,其實早在 3 年前就被中國駭客拿到手,之後還複製來進行攻擊美國公司。
2016 年,知名駭客組織 The Shadow Brokers 宣佈竊取到另一個攻擊團隊 Equation Group 使用的進階攻擊工具,包括 EternalBlue 、 DanderSpritz 及 EpMe,來自美國國安局 (NSA) 下的 Tailored Access Operation (TAO) 開發。
但是根據 Checkpoint 的研究人員本周公佈的報告顯示,APT 31 2013 年開發的攻擊程式「劍」(Jian),其實是 Equation Group 的 EpMe 的翻版。「劍」用以開採 Windows 內編號 CVE-2017-2005 的零時差漏洞,可用來擴充 Windows 使用者權限,進行惡意行動,影響 Windows XP 到 Windows 8 。這意謂著早在 2013 年 NSA 的工具早就流入中國駭客的手中,而非大家以為的 2016 年。
他們推測,中國駭客可能是在 Equation Group 對中國或其他目標發動攻擊,也可能是他們攻擊 Equation Group 網路時取取得了 EpMe 的 32-bit 及 64-bit 樣本後,再結合他們手上的駭客工具,包括多階段封裝工具 (packer) 成為「劍」,並用來發動攻擊。
值得注意的是 2017 年,就在 1 月 Shadows Broker 公佈他們的發現幾個月內,微軟展開一系列忙亂的修補行動。微軟先是取消了二月的 Patch Tuesday,三月間以 MS-017 安全公告修補了 Equation Group 開採的漏洞(包括 EpMe 及 Eternal Blue)。兩周後,微軟又修補了「劍」所開採的漏洞 CVE-2017-2005 。他們是在接獲美國軍武及航太製造商洛克希德馬丁通報才得知,之後微軟的調查才將攻擊來源指向中國的 APT 31(或稱 Ziroconium)。同年五月微軟又低調修補了 Equation Group 開採的 EpMo 攻擊漏洞。
這意謂著,如果推論正確,NSA 的工具流至外國敵人手上,再用來攻擊美國國防工業,而且外洩時間比原先公佈的更早了 3 年。
Checkpoint 指出,他們的研究顯示 APT 組織也可能利用其他 APT 組織的工具進行攻擊,這讓研究人員更難追溯攻擊源頭,也顯示今天駭客內生態的複雜性,以及外界對此所知之有限。