China Membajak Alat Peretasan NSA pada 2014 — dan Menggunakannya Bertahun-tahun


Lebih dari empat Bertahun-tahun setelah sekelompok peretas misterius yang dikenal sebagai Shadow Brokers mulai secara sembrono membocorkan alat peretas rahasia NSA ke internet, pertanyaan yang muncul adalah bencana — apakah ada badan intelijen yang dapat mencegah persediaan “zero-day” -nya jatuh ke tangan yang salah — masih menghantui komunitas keamanan. Luka itu sekarang telah dibuka kembali, dengan bukti bahwa peretas China memperoleh dan menggunakan kembali alat peretasan NSA bertahun-tahun sebelum Shadow Brokers mengungkapkannya.

Pada hari Senin, firma keamanan Check Point mengungkapkan bahwa mereka telah menemukan bukti bahwa kelompok Cina yang dikenal sebagai APT31, juga dikenal sebagai Zirkonium atau Judgment Panda, entah bagaimana memperoleh akses dan menggunakan alat peretasan Windows yang dikenal sebagai EpMe yang dibuat oleh Equation Group , nama industri keamanan untuk peretas yang sangat canggih yang secara luas dipahami sebagai bagian dari NSA. Menurut Check Point, grup Tiongkok pada tahun 2014 membuat alat peretasan mereka sendiri dari kode EpMe yang berasal dari tahun 2013. Peretas Tiongkok kemudian menggunakan alat tersebut, yang dinamai Check Point sebagai “Jian” atau “pedang bermata dua,” dari tahun 2015 hingga Maret 2017, ketika Microsoft menambal kerentanan yang diserangnya. Itu berarti APT31 memiliki akses ke alat, eksploitasi “eskalasi hak istimewa” yang akan memungkinkan peretas yang sudah memiliki pijakan di jaringan korban untuk mendapatkan akses yang lebih dalam, jauh sebelum akhir 2016 dan awal 2017 Shadow Brokers bocor.

Baru pada awal 2017 Lockheed Martin menemukan penggunaan teknik peretasan oleh Tiongkok. Karena Lockheed memiliki sebagian besar pelanggan AS, Check Point berspekulasi bahwa alat peretasan yang dibajak mungkin telah digunakan untuk melawan orang Amerika. “Kami menemukan bukti konklusif bahwa salah satu eksploitasi yang dibocorkan oleh Shadow Broker telah sampai ke tangan aktor China,” kata kepala penelitian cyber Check Point, Yaniv Balmas. “Dan itu tidak hanya sampai ke tangan mereka, tetapi mereka menggunakan kembali dan menggunakannya, kemungkinan besar terhadap target AS.”

Penemuan Check Point bukanlah pertama kalinya peretas China dilaporkan menggunakan kembali alat peretasan NSA — atau setidaknya, teknik peretasan NSA. Symantec pada tahun 2018 melaporkan bahwa kerentanan zero-day Windows yang kuat lainnya, yang dieksploitasi dalam alat peretasan NSA, EternalBlue dan EternalRomance, juga telah diubah fungsinya oleh peretas Tiongkok sebelum terekspos bencana oleh Shadow Brokers. Namun dalam kasus itu, Symantec mencatat bahwa tampaknya para peretas China tidak benar-benar mendapatkan akses ke malware NSA. Sebaliknya, tampaknya mereka telah melihat komunikasi jaringan agensi dan merekayasa balik teknik yang digunakan untuk membangun alat peretasan mereka sendiri.

Alat Jian APT31, sebaliknya, tampaknya dibuat oleh seseorang dengan akses langsung ke program yang dikompilasi Grup Persamaan, kata peneliti Check Point, dalam beberapa kasus menggandakan bagian kode yang sewenang-wenang atau tidak berfungsi. “Eksploitasi China menyalin beberapa bagian dari kode, dan dalam beberapa kasus mereka tampak seperti tidak benar-benar memahami apa yang mereka salin dan apa fungsinya,” kata peneliti Check Point Itay Cohen.

Sementara Check Point menyatakan dengan pasti bahwa kelompok China tersebut mengambil alat hacking Jian dari NSA, ada beberapa ruang untuk perdebatan mengenai asal-usulnya, kata Jake Williams, pendiri Rendition Infosec dan mantan peretas NSA. Dia menunjukkan bahwa Check Point merekonstruksi sejarah kode itu dengan melihat waktu kompilasi, yang dapat dipalsukan. Bahkan mungkin ada sampel sebelumnya yang hilang yang menunjukkan alat tersebut berasal dari peretas China dan diambil oleh NSA, atau bahkan dimulai dengan grup peretas ketiga. “Saya pikir mereka memiliki bias bidang pandang dengan mengatakan ini pastinya dicuri dari NSA, “kata Williams.” Tapi apa pun nilainya, jika Anda memaksa saya untuk menaruh uang pada siapa yang memilikinya lebih dulu, saya akan mengatakan NSA. “

Diposting oleh : SGP Prize