Kineski hakeri koristili hakerske alate američke obaveštajne službe mnogo pre nego što su oni procureli na internetu

Vesti, 08.05.2019, 03:00 AM

Kineski hakeri koristili hakerske alate američke obaveštajne službe mnogo pre nego što su oni procureli na internetu

Istraživači kompanije Symantec došli su do šokantnog otkrića - hakerska grupa Buckeye koja se dovodi u vezu sa kineskom obaveštajnom službom koristila je hakerske alate američke Agencije za nacionalnu bezbednost (NSA) skoro godinu dana pre nego što su oni javno objavljeni na internetu zahvaljujući misterioznoj grupi Shadow Brokers.

Prema izveštaju koji je objavio Symantec, grupa Buckeye, koristila je ove hakerske alate koji se dovode u vezu sa američkom NSA još u martu 2016. godine, a neki od njih su zahvaljujući grupi Shadow Brokers procureli tek u aprilu 2017.

Grupa Buckeye, poznata i pod imenima APT3, Gothic Panda, UPS Team i TG-0110, odgovorna je za veliki broj špijunskih napada, uglavnom protiv vojske i važnih institucija u Sjedinjenim Državama.

Iako Symantec nije izričito spomenuo Kinu u svom izveštaju, istraživači su i ranije bili uvereni da je grupa Buckeye povezana sa kompanijom koja se bavi informatičkom bezbednošću, koja se zove Boyusec, i koja radi za kinesko ministarstvo državne bezbednosti.

Najnovije otkriće kompanije Symantec pruža prvi dokaz da su kineski hakeri koji deluju pod pokroviteljstvom države uspeli da dođu do nekih alata za hakovanje, uključujući EternalRomance, EternalSynergy i DoublePulsar, godinu dana pre nego što ih je objavila grupa Shadow Brokers, koja je još uvek misterija i čiji članovi nikada nisu identifikovani.

Prema rečima istraživača Symanteca, grupa Buckeye je koristila svoj prilagođeni exploit alat nazvan Bemstour, kako bi isporučivala verziju DoublePulsar backdoor implanta čiji je zadatak da krišom prikuplja informacije i pokreće zlonamerni kod na ciljanim računarima.

Alat Benstour je dizajniran da iskoristi dve ranjivosti koje su u to vreme bile ranjivosti nultog dana (CVE-2019-0703 i CVE-2017-0143) u Windowsu, da bi se postiglo izvršenje napadačkog koda na ciljanim računarima.

Microsoft se rešio problem sa ranjivošću CVE-2017-0143 u martu 2017. godine, nakon što je ustanovljeno da su je koristila dva NSA exploita (EternalRomance i EternalSynergy) koje je objavila grupa Shadow Brokers.

Prethodno nepoznatu grešku u Windows SMB Server (CVE-2019-0703) otkrili su i Microsoftu prijavili istraživači Symanteca u septembru 2018. godine i ona je prošlog meseca ispravljena.

Istraživači su otkrili da su hakeri iz grupe Buckeye koristili kombinaciju SMB exploita i DoublePulsar backdoora za napade na telekomunikacione kompanije, kao i naučno-istraživačke i obrazovne institucije u Hong Kongu, Luksemburgu, Belgiji, na Filipinima i u Vijetnamu, i to od marta 2016. do avgusta 2017. godine.

Iako Symantec ne zna kako su kineski hakeri dobili alate hakerske grupe NSA Equation pre nego što su do njih došli hakeri grupe Shadow Brokers, kompanija tvrdi da postoji mogućnost da je Buckeye uhvatio kod korišćen u napadu NSA na njihove računare, a zatim iskoristio taj kod da razvije sopstvenu verziju alata.

"Drugi manje podržani scenariji, s obzirom na raspoložive tehničke dokaze, uključuju taj da je grupa Buckeye došla do alata dobijanjem pristupa neosiguranom ili slabo osiguranom serveru Equation grupe, ili da je neki član grupe Equation ili saradnik prosledio alate grupi Buckeye", kaže Symantec.

Izgleda da je grupa Buckeye prestala sa radom sredinom 2017. godine, a tri navodna člana grupe optužena su u SAD u novembru 2017. Međutim, Bemstour i DoublePulsar alati koje je koristila grupa su se koristiti čak i nakon toga, sve do kraja 2018. godine, sa različitim malverima.

Iako se ne zna ko je nastavio da koristi alate, istraživači veruju da je Buckeye grupa možda predala neke od svojih alata drugoj grupi ili "nastavila da radi duže nego što se pretpostavljalo".

Posle curenja hakerskih alata NSA, njih su koristili i severnokorejski hakeri i ruska obaveštajna služba.

Symantecov izveštaj ne ukazuje na to da postoji veza između između toga što je grupa Buckeye došla u posed hakerskih alata NSA i curenja alata koje je usledilo dosta kasnije zahvaljujući Shadow Brokersima.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Microsoft povukao Huawei uređaje iz svoje online prodavnice

Microsoft  povukao Huawei uređaje iz svoje online prodavnice

Microsoft je još jedna od američkih kompanija za koju se očekuje da će prekinuti svoje veze sa Huaweijem nakon što je prošle nedelje američki ... Dalje

Procurela baza podataka sa informacijama o milionima korisnika Instagrama

Procurela baza podataka sa informacijama o milionima korisnika Instagrama

Istraživač Anurag Sen otkrio je ogromnu bazu podataka koja sadrži privatne kontakt informacije, uključujući brojeve telefona i email adrese oko ... Dalje

Za 11 godina stari laptop zaražen čuvenim malverima na aukciji ponuđeno skoro 1,3 miliona dolara

Za 11 godina stari laptop zaražen čuvenim malverima na aukciji ponuđeno skoro 1,3 miliona dolara

Laptop koji je namerno zaražen sa šest ozloglašenih malvera, uključujući čuvene malvere WannaCry i ILoveIou, prodaje se na aukciji u SAD kao um... Dalje

Sankcije protiv kompanije Huawei suspendovane na 90 dana, osnivač kompanije kaže da ih SAD potcenjuju

Sankcije protiv kompanije Huawei suspendovane na 90 dana, osnivač kompanije kaže da ih SAD potcenjuju

Osnivač kompanije Huawei, Ren Žengfej, komentarišući najnoviji potez američke administracije usmeren protiv kineske kompanije, rekao je da SAD "p... Dalje

Google priznao da je od 2005. deo lozinki korisnika G Suite čuvao u običnom tekstu

Google priznao da je od 2005. deo lozinki korisnika G Suite čuvao u običnom tekstu

Facebook nije jedina velika tehnološka kompanija koja čuva lozinke u obliku običnog teksta. Google je upozorio korisnike G Suite da je zbog "grešk... Dalje