研究：中国骇客早在影子掮客公布的2年前就使用NSA攻击工具了

资安业者CheckPoint的研究人员于本周指出，当他们在调查Windows的权限扩张攻击程式，并试图追踪攻击程式的作者时，意外发现中国骇客集团APT31早在2014年便使用了由美国国安局（NSA）所开发的攻击程式，比影子掮客（The Shadow Broker）公布获得相关攻击程式的时程还早了2年。

影子掮客是在2016年的8月对外公告，手上握有NSA旗下骇客部门Equation Group所打造的攻击工具，并在2017年1月公布了工具列表，使得微软于3月释出18个安全公告，大规模修补上百个安全漏洞，当中尤以MS17-010所修补的CVE-2017-0143、CVE-20170144、CVE-20170145、CVE-20170146与CVE-20170148等涉及Microsoft Windows SMB服务器的安全漏洞最受瞩目，因为NSA替相关漏洞所打造的EternalBlue攻击程式，之后成为造成全球重大灾情的勒索软件WannaCry攻击的前锋。

而CheckPoint本周揭露由APT31所使用的攻击程式为EpMe，它开采的是CVE-2017-0005漏洞，同样在2017年3月被微软修补，虽然不若EternalBlue知名，但微软特别撰文说明了此一权限扩张漏洞。

根据CheckPoint的追踪，EpMe最早出现在2013年，当时它已被纳入NSA旗下Equation Group所打造的DanderSpritz NtElevation攻击框架，作为第二阶段的攻击工具包，然而，APT31在2014年就复制了EpMe，将它重构成Jian，且至少从2015年就以Jian发动攻击。

研究人员尚无法确认APT31取得EpMe的管道，猜测也许是在Equation Group锁定中国发动攻击时，反被中国截获；或者是Equation Group所攻击的第三方目标正巧也受到APT31监控；也可能是APT31直接针对Equation Group基础架构发动攻击所获得的战利品。

CheckPoint认为，网络攻击武器是数位且易变的，盗走并转移它们就像传送电子邮件一样简单，它们通常很隐晦，而且光是存在本身就属于机密，于是，窃取网络攻击武器很难被逮到，也经常成为只有少数人知道的事实；此次的发现显示出Equation Group所开发的攻击工具最终成为中国骇客集团所用，还可能是用来攻击美国组织。

不过，根据纽约时报在2019年的报导，国际骇客早就利用同样源自NSA的EternalBlue攻击程式，来入侵美国马里兰州的巴尔的摩、宾州的阿伦敦市、德州的圣安东尼奥，以及美国的多所大学。