APT 31 создала свою версию эксплойта, получившую название Jian, путем воспроизведения функциональности EpMe, украденного у Equation Group.
Китайские киберпреступники скопировали и начали использовать эксплойт АНБ для уязвимости нулевого дня в Windows почти за три года до того, как хакерская группа Shadow Brokers выставила на продажу инструменты агентства в апреле 2017 года.
EpMe — эксплойт, разработанный Equation Group (предполагаемым хакерским подразделением Агентства национальной безопасности США) примерно в 2013 году для уязвимости нулевого дня в Windows ( CVE-2017-0005 ). Уязвимость использовалась для повышения привилегий в Windows после получения доступа к целевым устройствам и затрагивала устройства под управлением версий ОС от Windows XP до Windows 8. Microsoft исправила проблему в марте 2017 года и связала активную эксплуатацию уязвимости с китайской хакерской группировкой APT31.
Однако, по словам специалистов из компании Check Point, APT 31 (также известная как Zirconium) создала свою версию эксплойта, получившую название Jian, путем воспроизведения функциональности EpMe, украденного у Equation Group.
«К нашему удивлению, мы обнаружили, что эксплойт APT31 на самом деле является реконструированной версией эксплойта Equation Group под названием EpMe. Это означает, что эксплойт Equation Group в конечном итоге был использован китайской группировкой, вероятно, против американских целей», — пояснили эксперты.
Как отметили специалисты, хотя это не первый случай , когда китайские хакеры использовали инструменты Equation Group в своих атаках, кибершпионы впервые смогли заполучить образцы эксплойтов и скопировать их для своих целей.