在一个美国黑客工具被泄露到网上之前，中国黑客已经接触到了它

2016年8月13日，一个自称“影子经纪人”的黑客单位宣布，它窃取了Equation Group使用的恶意软件工具和漏洞，Equation Group是一个复杂的威胁参与者，据信隶属于美国国家安全局（NSA）的定制访问操作（TAO）部门。

尽管该组织在史无前例的披露之后已经签署了协议，但Check Point Research发现的新的“决定性”证据表明，这不是一个孤立的事件，其他威胁行为体可能在发布之前已经获得了一些相同的工具。

这家美国-以色列网络安全公司在今天发布的一份详尽报告中称，此前未经记录的网络盗窃发生在影子经纪人事件发生两年多之前，导致美国开发的网络工具落入中国先进的持续威胁之手，中国随后重新利用这些工具打击美国目标。

Check Point的研究人员Eyal Itkin和Itay Cohen说：“在CVE-2017-0005的野生开发中，微软将其归为中国的APT31（又名锆）的零日，实际上是一个方程式组开发的复制品，代号为‘EpMe’。”。“在影子代理泄露的两年多之前，APT31已经访问了EpMe的32位和64位版本的文件。”

2015年2月，网络安全公司卡巴斯基（Kaspersky）的研究人员称之为Equation Group，它早在2001年就与一系列影响“数万受害者”的攻击有关，其中一些注册的指挥和控制服务器可追溯到1996年。卡巴斯基称该组织为“网络间谍活动的王冠创造者”

未知的权限提升漏洞

CVE-2017-0005于2017年3月首次公开，它是Windows Win32k组件中的一个安全漏洞，可能允许在运行Windows XP及Windows 8之前的系统中提升权限（EoP）。洛克希德·马丁公司的计算机事故响应团队向微软报告了该漏洞。

Check Point以过去2500年中国使用的一把双刃直剑命名克隆变种“剑”，它的起源是Equation Group开发的一种攻击工具，后来被武器化，用作攻击美国实体的“双刃剑”。

Timeline of the events detailing the story of EpMe / Jian / CVE-2017-0005

据称，Jian在2014年被复制，并至少在2015年投入运行，直到2017年微软修补了潜在的缺陷。

APT31是一个由国家资助的黑客集体，据称在中国政府的要求下进行侦察行动，专门从事知识产权盗窃和凭证获取，最近针对美国选举工作人员的活动中，矛头钓鱼电子邮件包含下载GitHub上托管的基于Python的植入物的链接，允许攻击者上传和下载文件以及执行任意命令。

Check Point表示，DanderSpritz后期开发框架包含四个不同的Windows EoP模块，其中两个在2013年开发时为零天，其中一个是零天—；被称为“EpMo”和#8212；2017年5月，作为对影子经纪人泄密的回应，微软“没有明显的CVE-ID”悄悄修补了该漏洞。EpMe是另一个零日。

DanderSpritz是2017年4月14日影子破坏者泄露的几个漏洞工具之一，标题为“迷失在翻译中”此次泄密最为人所知的是发布了“永恒蓝”漏洞，该漏洞后来将为WannaCry和NotPetya勒索软件感染提供动力，该病毒在65多个国家造成了数百亿美元的损失。

尽管EpMo的源代码在GitHub上公开可访问，但这是自近四年前泄密以来首次发现新的等式组漏洞。

就EpMo而言，它是通过利用图形设备接口（GDI）用户模式打印驱动程序（UMPD）组件中的NULL-Deref漏洞，在运行Windows 2000到Windows Server 2008 R2的计算机上部署的。

Jian和EpMe重叠

“在我们对Equation Group和APT31漏洞的分析之上，EpMe漏洞与微软在CVE-2017-0005博客上报道的细节完全一致，”研究人员指出。“如果这还不够的话，在微软2017年3月发布补丁后，该漏洞确实停止了工作，该补丁解决了上述漏洞。”

除了这种重叠，EpMe和Jian都被发现共享相同的内存布局和相同的硬编码常量，这证明了一个事实，即其中一个漏洞很可能是从另一个漏洞复制的，或者双方都受到了未知第三方的启发。

但研究人员说，到目前为止，还没有暗示后者的线索。

有趣的是，虽然EpMe不支持Windows 2000，但Check Point的分析发现该平台存在“特殊情况”，这增加了APT31在2014年某个时候从Equation Group复制该漏洞的可能性，然后对其进行调整以满足其需求，并最终针对目标部署新版本，可能包括洛克希德·马丁公司。

洛克希德·马丁公司的一位发言人在接受采访时表示，“我们的网络安全团队定期评估第三方软件和技术，以识别漏洞，并负责任地向开发者和其他相关方报告。”

此外，一位熟悉洛克希德·马丁公司网络研究和报道的消息人士告诉《黑客新闻》，Windows漏洞是在一个未具名的第三方网络—；而不是依靠自身或其供应链—；作为向其他实体提供的威胁监控服务的一部分。

不是第一次了

Check Point的发现并不是中国黑客第一次据称劫持NSA的漏洞库。2019年5月，Broadcom的赛门铁克（Symantec）报道称，一个名为APT3（或七叶树）的中国黑客组织也重新利用与NSA有关的后门，渗透到电信、媒体和制造业。

但与APT31不同的是，赛门铁克的分析指出，威胁参与者可能根据捕获的网络通信中发现的工件设计了自己版本的工具，这可能是观察到等式组攻击的结果。

Jian是之前被认为是APT31的零日攻击，实际上是Equation Group针对同一漏洞创建的网络攻击工具，这表明了归因对战略和战术决策的重要性。

科恩说：“尽管‘简’在2017年初被微软抓获并进行了分析，尽管影子经纪人在近四年前泄露了Equation Group的工具，但我们仍然可以从分析这些过去的事件中学到很多东西。”。

“仅仅是一个包含四个不同漏洞的整个漏洞模块在GitHub上存在了四年而没有被注意到的事实，就让我们了解了等式组工具泄漏的严重性。”