A principios de este año, la empresa de ciberseguridad Symantec publicó un informe interesante que detalla el uso de las herramientas de explotación del grupo Equation por parte de un supuesto grupo chino llamado Buckeye (también conocido como APT3 o equipo de UPS). Se sospecha que el grupo Equation está vinculado a la unidad de Operaciones de acceso a medida (TAO) de la Agencia de Seguridad Nacional de los Estados Unidos (NSA). Las mismas herramientas se filtraron en línea en 2017 por el grupo llamado Shadow Brokers, pero, según Symantec, APT3 ha estado usando estas herramientas mucho antes de que se publicaran en línea. En ese momento, los investigadores reconocieron que no pueden decir con certeza cómo exactamente los hackers chinos han obtenido el software vinculado a la NSA, pero parece que el equipo de ciberseguridad Check Point tiene su propia teoría.
Según un nuevo informe, parece que el APT3 ha adquirido la herramienta analizando el tráfico de red en un sistema que fue potencialmente atacado por la NSA. Los expertos teorizan que APT3 recreó su propia versión de un exploit del grupo Equation utilizando el tráfico de red capturado y lo incorporó a su propio arsenal.
“Si el grupo utilizó realmente el tráfico de red como referencia, el tráfico probablemente se recopiló de una máquina controlada por APT3. Esto significa una máquina china que fue atacada por la NSA y monitoreada por el grupo, o una máquina comprometida por el grupo de antemano en la que se notó actividad extranjera. Creemos que lo primero es más probable, y en ese caso podría ser posible capturando el movimiento lateral dentro de una red de víctimas objetivo del grupo Equation ”, se lee en el análisis.
Aparentemente, el grupo tomó la herramienta que encontró, que parecía ser la herramienta vinculada a la NSA EternalRomance, un exploit que apunta a versiones anteriores de Windows, y la modernizó aún más para permitirle apuntar a más versiones de Windows “similar a lo que se hizo en un exploit de grupo de ecuaciones paralelo llamado EternalSynergy. “Check Point nombró el conjunto de exploits UPSynergy, ya que combina dos exploits diferentes para expandir el soporte a los sistemas operativos más nuevos.
Un análisis posterior reveló que los paquetes SMB subyacentes utilizados durante la ejecución de la herramienta fueron diseñados manualmente por los desarrolladores, en lugar de con la ayuda de bibliotecas de terceros. Como señalaron los investigadores, muchos de estos paquetes fueron asignados con datos codificados y aparentemente arbitrarios, así como la existencia de otros artefactos SMB codificados únicos, lo que sugiere que “los desarrolladores estaban tratando de recrear la explotación basada en el tráfico previamente registrado”.
La herramienta UPSynergy parece estar dirigida a la misma vulnerabilidad que EternalRomance explotó (CVE-2017-0145). Las vulnerabilidades de SMB son parte del exploit de EternalRomance. Los piratas informáticos chinos lo combinaron con una “fuga de información” (CVE-2019-0703) de día cero para explotar los sistemas operativos más nuevos.
“No siempre está claro cómo los actores de amenazas logran sus herramientas de explotación, y comúnmente se supone que los actores pueden llevar a cabo su propia investigación y desarrollo u obtenerla de un tercero. En este caso, tenemos evidencia que muestra que se produjo un tercer escenario (pero menos común), uno en el que los artefactos de ataque de un rival (es decir, el grupo de Ecuación) se usaron como base e inspiración para establecer capacidades ofensivas internas por parte de APT3 “. concluyeron los investigadores.