فهرست مطالب:
گروه محبوب هکرهای چینی با عنوان & # 39؛ Shadow Broker & # 39؛ اولین بار در سال 2016 پس از اعتراف به سرقت ابزارهای حساس آژانس امنیت ملی یا NSA آشکار شد.
با این حال ، شواهدی وجود دارد که ممکن است موارد بیشتری در تصویر وجود داشته باشد ، همانطور که اخیراً آژانس امنیتی ایالات متحده و اسرائیل Check Point فاش کرد. طبق بررسی Check Point ، احتمالاً بازیگران تهدید دیگری نیز وجود دارند كه قبل از آزادی رسمی به برخی از ابزارها و سوits استفاده ها دسترسی داشته اند.
به گفته منبع ، این حادثه سرقت اینترنتی حدود سال 2014 رخ داده است. دو سال قبل از & # 39؛ کارگزاران سایه & # 39؛ این امر منجر به استفاده مجدد از ابزارهای سایبری قدرتمند ایالات متحده برای دستیابی به دست بازیگران تهدید چینی و شکست اهداف ایالات متحده شده است. نمایندگان چک پوینت در گزارش جامع مورد ذکر شده اند.
طبق این گزارش ، گروهی از APT31 چینی (همچنین به نام Judgment Panda و Zirconium شناخته می شوند) به کد ابزار حمله سایبری & # 39؛ EpMe & # 39؛ ایجاد شده توسط Equation Group ، یک گروه هکر بسیار باتجربه که بخشی از NSA. (شمشیر دو لبه چینی) نسخه چینی ابزار Check Point's & # 39؛ EpMe & # 39؛ از 2015 تا 2017 برای بهره برداری از نقص LPE (محلی سازی افزایش حقوق محلی) ویندوز (که به آن CVE-2017 نیز گفته می شود) استفاده شد. -0005) تا زمانی که مایکروسافت این آسیب پذیری را پیدا و رفع کند. بهره برداری APT31 شامل چهار بهره برداری "افزایش امتیاز Windows" بود. به طور کلی دسترسی عمیق تری به شبکه هایی که قبلاً توسط هکرها نفوذ کرده اند را فراهم می کند.
درباره جزئیات بیشتر بیاموزید – چطور همه چیز اتفاق افتاد
شرکت تحت تیم پاسخ حوادث رایانه ای لاکهید مارتین برای اولین بار حمله را گرفت. از آنجا که بیشتر مشتریان مارتین در ایالات متحده مستقر هستند ، چک پوینت به این نتیجه رسیده است که به احتمال زیاد آمریکایی ها موضوع فعالیت مجرمانه مربوط به این پرونده هستند.
هنوز کاملاً مشخص نیست. چگونه آنها به ابزارهای NSA دسترسی پیدا کردند ، با این حال ، یک نظریه وجود دارد که بدافزار EpMe که تحت فرماندهی گروه معادله در چین استفاده می شود ، فرصتی را ارائه داده است.
نظریه جایگزین Check Point امکان سرقت از سرور شخص ثالث را فراهم می کند. گروه معادله از آن برای ذخیره آن استفاده کرد.
سرانجام ، یک نظریه دیگر وجود دارد که کد EpMe را مستقیماً توسط APT31 از شبکه گرفته است.
این نظریه منطقی است ، اما هیچ یک از این نظریه ها نیست. این خصوصاً دلگرم کننده است زیرا به نظر می رسد هنگام حمله هکرهای آمریکایی به چین ، یا دسترسی غیرقانونی هکرهای چینی به م institutionsسساتی که به دلیل امنیت بالای آنها مشهور است ، این ابزار به سرقت رفته است.
ظهور جنگ جهانی سایبر
یک گروه هک تحت حمایت دولت ، APT31 ، برای انجام عملیات تحقیق و تفحص برای دولت چین نظریه پردازی شده است. در اکتبر سال 2020 ، همین گروه همچنین به یک کمپین فیشینگ مربوط به انتخابات ریاست جمهوری ایالات متحده مرتبط شد.
این حمله شامل گروه هایی بود كه مبارزان را متقاعد كردند نسخه های جدید نرم افزار آنتی ویروس را بارگیری كنند. پس از بارگیری ، دستگاه شما آلوده می شود. نباید فراموش کرد که فقط در سال گذشته حملات سایبری علیه SolarWinds و FireEyes صورت گرفته است و هنوز ناامیدی و خسارات ناشی از آنها کاملاً محاسبه نشده است. با این حال ، برخی از کارشناسان اتفاق نظر دارند که این حملات ممکن است از روسیه ناشی شده باشد.
محققان در حال مطالعه قرار گرفتن در معرض اخیر APT31 به این نتیجه رسیدند که حمله EpMe با جزئیات دقیق شده در وبلاگ مایکروسافت در مورد CVE-2017-0005 مطابقت دارد. پس از بررسی گروه معادلات و تجزیه و تحلیل هر دو حادثه ، کارشناسان توافق می کنند که هنگامی که مایکروسافت وصله جدیدی را منتشر کرد که آسیب پذیری را در سال 2017 برطرف می کند ، بهره برداری متوقف شد.
Jian و EpMe – شباهت ها و تفاوت ها
در نتیجه تجزیه و تحلیل ، ابزار اصلی (EpMe) و نوع شبیه سازی شده & # 39؛ Jian & # 39؛ از همان طرح حافظه و ثابت های رمزگذاری شده استفاده می کنند و آن را یکی می کنند از این دو مورد کپی شده است ، یا هر دو ابزار از شخص ثالث الهام گرفته شده اند. جالب است بدانید که EpMe با یک سناریو مورد پشتیبانی شده است که در آن Jian از نسخه جدید ویندوز پشتیبانی می کند ، حتی اگر EpMe در ابتدا از ویندوز 2000 پشتیبانی نمی کند. گروه معادله یک کلون به روز شده برای ردیابی اهداف ایالات متحده قبل از 2014 ایجاد کرد.
برای ادامه پرونده ، منبعی آشنا با تحقیق و تجزیه و تحلیل لاکهید مارتین دریافت که قابلیت انعطاف پذیری در شبکه شخص ثالث ناشناخته ای که به عنوان بخشی از سرویس نظارت بر تهدیدات ویندوز فعالیت می کند ، شناسایی شده است.
به طور خلاصه ،
به طور خلاصه مجموعه ای از رویدادها ، نتایج اصلی به شرح زیر است.
منبع تصویر
آخرین کلمه
این پرونده گیج کننده بود ، اما این اولین باری نیست که یک هکر وارد شبکه امن NSA می شود. در سال 2019 ، گزارش شد که یک گروه هک دیگر چینی معروف به APT3 برای دستیابی به بخشهای ارتباط از راه دور و رسانه ها ، درب پشتی فناوری متصل به NSA را برای استفاده مجدد استفاده کرد.
با این حال ، تحلیلگران احتمال می دهند كه عوامل تهدیدكننده در این حمله ، خود آنها را طراحی كرده باشند. نسخه ابزاری از قراضه موجود در شبکه پس از مشاهده حمله گروه Equation.
جیان ، ابزاری که قبلاً به APT13 نسبت داده شده بود ، یکی از ابزارهای ایجاد شده توسط گروه معادلات است. آسیب پذیری های مشابه اهمیت تفکر استراتژیک و تصمیم گیری را برجسته می کند.
کارهای زیادی وجود دارد ، حتی اگر مایکروسافت جیان را در سال 2017 کشف و تجزیه و تحلیل کرد ، و Shadow Brokers بیش از چهار سال پیش ابزاری را به سرقت برد. با این وجود ، مهمترین چیز این واقعیت است که کل ماژول با 4 بهره برداری در GitHub برای f است. چند سال قبل از کشف این مسئله ، باید اطلاعات زیادی در مورد شدت نشت ابزار Equation Group ارائه شود.
