Novas investigações da unidade de pesquisa da Check Point, empresa especializada em segurança da informação, revelam uma manobra bastante irônica: entre 2014 e 2017, hackers de elite patrocinados pelo governo chinês copiaram uma arma cibernética construída por agentes dos EUA, utilizando-a para atacar alvos estadunidenses. Uma das vítimas foi a fabricante de aeronaves Lockheed Martin.
Segundo os especialistas, tudo começou em 2013, quando o Equation Group — grupo de hackers ligados à Agência de Segurança Nacional (NSA) dos Estados Unidos — desenvolveu o malware “EpMe” para atacar alvos do Irã, Rússia, Paquistão, Afeganistão e outros países da região. A ferramenta usava uma vulnerabilidade de dia zero (ou seja, desconhecida) presente em várias versões do Windows, do XP ao 8.
Em algum momento, hackers estatais chineses do grupo APT31 obtiveram acesso ao código-fonte dessa arma cibernética e a adaptaram para contra atacar os próprios EUA. Tal edição modificada foi batizada pela Check Point como “Jian” e foi identificada no ambiente da Lockheed Martin em 2017 — foi só então que a Microsoft resolveu corrigir a vulnerabilidade que ela explorava (e que ficou registrada como CVE-2017-0005).
O mais curioso é que, meses antes disso acontecer, o grupo de hacktivistas conhecido como Shadow Brokers revelou a EpMe como um esforço conjunto para trazer luz às operações nefastas da NSA. “Apesar da ‘Jian’ ter sido identificada e analisada pela Microsoft no início de 2017, e mesmo depois de o grupo Shadow Brokers ter exposto a operação do ‘Equation Group’ há quase quatro anos, ainda há muito a aprender ao analisar eventos passados”, explica Yaniv Balmas, chefe de pesquisa da Check Point.
“Só o fato de um módulo inteiro de exploração, contendo quatro explorações diferentes, ter se mantido sem ser notado por quatro anos no GitHub, isso nos ensina muito sobre a magnitude do vazamento em torno dos códigos do ‘Equation Group’. Tanto o EpMe quanto o Jian possuíam a capacidade de comprometer a máquina infectada e criar usuários com alto nível de privilégio, permitindo o acesso, exclusão e criação de arquivos no computador.
“A nossa investigação é, essencialmente, a demonstração de como um grupo APT utiliza os códigos ou as ferramentas de outro grupo para as suas próprias operações, fazendo com que seja mais difícil para os pesquisadores de segurança avaliar precisamente a natureza e atribuição dos ataques. Contudo, acreditamos que a nossa mais recente técnica para rastrear vulnerabilidades expostas possa nos levar a novas conclusões, até agora desconsideradas pelo setor de segurança”, conclui Balmas.