Kineski hakeri koristili hakerske alate američke obaveštajne službe mnogo pre nego što su oni procureli na internetu

Vesti, 08.05.2019, 03:00 AM

Istraživači kompanije Symantec došli su do šokantnog otkrića - hakerska grupa Buckeye koja se dovodi u vezu sa kineskom obaveštajnom službom koristila je hakerske alate američke Agencije za nacionalnu bezbednost (NSA) skoro godinu dana pre nego što su oni javno objavljeni na internetu zahvaljujući misterioznoj grupi Shadow Brokers.

Prema izveštaju koji je objavio Symantec, grupa Buckeye, koristila je ove hakerske alate koji se dovode u vezu sa američkom NSA još u martu 2016. godine, a neki od njih su zahvaljujući grupi Shadow Brokers procureli tek u aprilu 2017.

Grupa Buckeye, poznata i pod imenima APT3, Gothic Panda, UPS Team i TG-0110, odgovorna je za veliki broj špijunskih napada, uglavnom protiv vojske i važnih institucija u Sjedinjenim Državama.

Iako Symantec nije izričito spomenuo Kinu u svom izveštaju, istraživači su i ranije bili uvereni da je grupa Buckeye povezana sa kompanijom koja se bavi informatičkom bezbednošću, koja se zove Boyusec, i koja radi za kinesko ministarstvo državne bezbednosti.

Najnovije otkriće kompanije Symantec pruža prvi dokaz da su kineski hakeri koji deluju pod pokroviteljstvom države uspeli da dođu do nekih alata za hakovanje, uključujući EternalRomance, EternalSynergy i DoublePulsar, godinu dana pre nego što ih je objavila grupa Shadow Brokers, koja je još uvek misterija i čiji članovi nikada nisu identifikovani.

Prema rečima istraživača Symanteca, grupa Buckeye je koristila svoj prilagođeni exploit alat nazvan Bemstour, kako bi isporučivala verziju DoublePulsar backdoor implanta čiji je zadatak da krišom prikuplja informacije i pokreće zlonamerni kod na ciljanim računarima.

Alat Benstour je dizajniran da iskoristi dve ranjivosti koje su u to vreme bile ranjivosti nultog dana (CVE-2019-0703 i CVE-2017-0143) u Windowsu, da bi se postiglo izvršenje napadačkog koda na ciljanim računarima.

Microsoft se rešio problem sa ranjivošću CVE-2017-0143 u martu 2017. godine, nakon što je ustanovljeno da su je koristila dva NSA exploita (EternalRomance i EternalSynergy) koje je objavila grupa Shadow Brokers.

Prethodno nepoznatu grešku u Windows SMB Server (CVE-2019-0703) otkrili su i Microsoftu prijavili istraživači Symanteca u septembru 2018. godine i ona je prošlog meseca ispravljena.

Istraživači su otkrili da su hakeri iz grupe Buckeye koristili kombinaciju SMB exploita i DoublePulsar backdoora za napade na telekomunikacione kompanije, kao i naučno-istraživačke i obrazovne institucije u Hong Kongu, Luksemburgu, Belgiji, na Filipinima i u Vijetnamu, i to od marta 2016. do avgusta 2017. godine.

Iako Symantec ne zna kako su kineski hakeri dobili alate hakerske grupe NSA Equation pre nego što su do njih došli hakeri grupe Shadow Brokers, kompanija tvrdi da postoji mogućnost da je Buckeye uhvatio kod korišćen u napadu NSA na njihove računare, a zatim iskoristio taj kod da razvije sopstvenu verziju alata.

"Drugi manje podržani scenariji, s obzirom na raspoložive tehničke dokaze, uključuju taj da je grupa Buckeye došla do alata dobijanjem pristupa neosiguranom ili slabo osiguranom serveru Equation grupe, ili da je neki član grupe Equation ili saradnik prosledio alate grupi Buckeye", kaže Symantec.

Izgleda da je grupa Buckeye prestala sa radom sredinom 2017. godine, a tri navodna člana grupe optužena su u SAD u novembru 2017. Međutim, Bemstour i DoublePulsar alati koje je koristila grupa su se koristiti čak i nakon toga, sve do kraja 2018. godine, sa različitim malverima.

Iako se ne zna ko je nastavio da koristi alate, istraživači veruju da je Buckeye grupa možda predala neke od svojih alata drugoj grupi ili "nastavila da radi duže nego što se pretpostavljalo".

Posle curenja hakerskih alata NSA, njih su koristili i severnokorejski hakeri i ruska obaveštajna služba.

Symantecov izveštaj ne ukazuje na to da postoji veza između između toga što je grupa Buckeye došla u posed hakerskih alata NSA i curenja alata koje je usledilo dosta kasnije zahvaljujući Shadow Brokersima.