Investigadores de Check Point Research, la División de Inteligencia de Amenazas de Check Point han descubierto que un grupo de cibercriminales chinos clonó y utilizó de forma activa como herramienta ofensiva una unidad de ciberseguridad con sede en Estados Unidos llamada Equation Group.

Detectada por primera vez por el equipo de Respuesta a Incidentes de Lockheed Martin y luego detallada por Microsoft en 2017, esta herramienta ofensiva era un exploit de upgrade de privilegios de día cero dirigido a ordenadores con Windows XP y hasta Windows 8.

En otras palabras, un ciberdelincuente podía utilizar la herramienta ofensiva para obtener los máximos privilegios disponibles, con el fin de hacer lo que quisiera en los ordenadores infectados: instalar programas, ver, cambiar o eliminar datos, o crear nuevas cuentas con plenos derechos de administrador. Y eso precisamente hizo el grupo de ciberdelincuentes chino entre 2014 y 2017. utilizaron el clon APT31 durante tres años, antes de ser descubiertos.

Microsoft parcheó la vulnerabilidad vinculada a la herramienta clonada, documentando el parche como CVE-2017-0005 y atribuyendo la explotación, en ese momento, a un grupo de hackers con sede en China llamado APT31. Las nuevas pruebas que CPR ha sacado a la luz demuestran que APT31 era la fuente original de dicha herramienta cibernética ofensiva responsable de la vulnerabilidad de día cero (CVE-2017-2005). De hecho, se trataba de un clon de una herramienta de ataque, cuyo nombre en código es “EpMe”, desarrollada por el grupo estadounidense Equation Group. 

Dado que la herramienta de ataque de Equation Group fue capturada y reutilizada para servir como “arma de doble filo” para atacar a los estadounidenses, CPR ha bautizado la herramienta de APT31 como “Jian”, nombre de la espada de doble filo que se utiliza en China desde hace 2.500 años. Ambas versiones del exploit “Jian” de APT31 o “EpMe” de Equation Group están dirigidas a ampliar los privilegios en el entorno local de Windows. Es decir, la herramienta se utilizaba después de que un cibercriminal consiguiera el acceso inicial a un ordenador objetivo, por ejemplo, a través de un correo electrónico de phishing o cualquier otra opción. Entonces, “Jian” otorga al cibercriminal los máximos privilegios disponibles, para que pudiera hacer lo que quisiera en el ordenador ya infectado.

About Author

Desiree Rodriguez

Responsable de Globb Security France y España. Periodista, Comunicadora Audiovisual y editora. Antes de unirse a GlobbTV, desarrolló la mayor parte de su carrera profesional en el grupo editorial de Madiva. Twitter: @Drodriguezleal.

Deja un comentario