Passer au contenu

Comment les hackers chinois se sont approprié un outil de piratage de la NSA

L’un des outils de piratage publiés par Shadow Brokers avait déjà été copié par des hackers chinois des années auparavant.

En 2017, le mystérieux groupe Shadow Brokers publie une partie de l’arsenal cybernétique de la NSA, alias Equation Group. Cette action a pour effet de ridiculiser l’agence américaine et pose le fondement d’une cyberattaque mondiale qui allait faire des centaines de millions de dollars de dégâts : WannaCry.

Il s’avère maintenant qu’un outil de cet arsenal avait déjà fuité plusieurs années auparavant pour être récupéré par les hackers chinois du groupe APT31. C’est en effet que ce que viennent de révéler les chercheurs en sécurité de Check Point. En mars 2017, Microsoft publie un correctif pour une faille d’élévation de privilèges (CVE-2017-0005) qui a été exploitée par un malware baptisé « Jian », trouvé dans les réseaux de Lockheed Martin. Ce malware a été attribué par Microsoft au groupe chinois APT31 alias Zirconium.

A découvrir aussi en vidéo :

 

En comparant ce malware avec celui d’EpMe, qui faisait partie de l’arsenal volé de la NSA, les chercheurs de Check Point découvrent beaucoup de similitudes. Non seulement les deux codes malveillants exploitent la même faille, mais en plus ils partagent certains éléments caractéristiques. Ils définissent les mêmes constantes, et utilisent la même façon de manipuler la mémoire tampon. Les chercheurs en concluent que l’un doit être la copie de l’autre. En raison de plusieurs incohérences dans le code du malware chinois, les chercheurs de Check Point pensent que le code américain est l’original. « Quelque part en 2014, APT31 a réussi à capturer les échantillons 32 bits et 64 bits de l’exploit EpMe Equation Group. Ils les ont répliqués pour construire Jian (…) », concluent-ils.

Comment les Chinois ont-ils pu récupérer EpMe ? Deux scénarios sont envisageables. Soit ils ont pu récupérer un exemplaire à l’occasion d’une attaque sur une cible chinoise ou sur une cible sous contrôle des hackers chinois. Soit ils ont réussi à pirater un serveur de la NSA. Dans les deux cas, ce n’est pas très glorieux pour l’agence américaine.

Source: Check Point

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Gilbert KALLENBORN