Kineski hakeri koristili hakerske alate američke obaveštajne službe mnogo pre nego što su oni procureli na internetu

Vesti, 08.05.2019, 03:00 AM

Kineski hakeri koristili hakerske alate američke obaveštajne službe mnogo pre nego što su oni procureli na internetu

Istraživači kompanije Symantec došli su do šokantnog otkrića - hakerska grupa Buckeye koja se dovodi u vezu sa kineskom obaveštajnom službom koristila je hakerske alate američke Agencije za nacionalnu bezbednost (NSA) skoro godinu dana pre nego što su oni javno objavljeni na internetu zahvaljujući misterioznoj grupi Shadow Brokers.

Prema izveštaju koji je objavio Symantec, grupa Buckeye, koristila je ove hakerske alate koji se dovode u vezu sa američkom NSA još u martu 2016. godine, a neki od njih su zahvaljujući grupi Shadow Brokers procureli tek u aprilu 2017.

Grupa Buckeye, poznata i pod imenima APT3, Gothic Panda, UPS Team i TG-0110, odgovorna je za veliki broj špijunskih napada, uglavnom protiv vojske i važnih institucija u Sjedinjenim Državama.

Iako Symantec nije izričito spomenuo Kinu u svom izveštaju, istraživači su i ranije bili uvereni da je grupa Buckeye povezana sa kompanijom koja se bavi informatičkom bezbednošću, koja se zove Boyusec, i koja radi za kinesko ministarstvo državne bezbednosti.

Najnovije otkriće kompanije Symantec pruža prvi dokaz da su kineski hakeri koji deluju pod pokroviteljstvom države uspeli da dođu do nekih alata za hakovanje, uključujući EternalRomance, EternalSynergy i DoublePulsar, godinu dana pre nego što ih je objavila grupa Shadow Brokers, koja je još uvek misterija i čiji članovi nikada nisu identifikovani.

Prema rečima istraživača Symanteca, grupa Buckeye je koristila svoj prilagođeni exploit alat nazvan Bemstour, kako bi isporučivala verziju DoublePulsar backdoor implanta čiji je zadatak da krišom prikuplja informacije i pokreće zlonamerni kod na ciljanim računarima.

Alat Benstour je dizajniran da iskoristi dve ranjivosti koje su u to vreme bile ranjivosti nultog dana (CVE-2019-0703 i CVE-2017-0143) u Windowsu, da bi se postiglo izvršenje napadačkog koda na ciljanim računarima.

Microsoft se rešio problem sa ranjivošću CVE-2017-0143 u martu 2017. godine, nakon što je ustanovljeno da su je koristila dva NSA exploita (EternalRomance i EternalSynergy) koje je objavila grupa Shadow Brokers.

Prethodno nepoznatu grešku u Windows SMB Server (CVE-2019-0703) otkrili su i Microsoftu prijavili istraživači Symanteca u septembru 2018. godine i ona je prošlog meseca ispravljena.

Istraživači su otkrili da su hakeri iz grupe Buckeye koristili kombinaciju SMB exploita i DoublePulsar backdoora za napade na telekomunikacione kompanije, kao i naučno-istraživačke i obrazovne institucije u Hong Kongu, Luksemburgu, Belgiji, na Filipinima i u Vijetnamu, i to od marta 2016. do avgusta 2017. godine.

Iako Symantec ne zna kako su kineski hakeri dobili alate hakerske grupe NSA Equation pre nego što su do njih došli hakeri grupe Shadow Brokers, kompanija tvrdi da postoji mogućnost da je Buckeye uhvatio kod korišćen u napadu NSA na njihove računare, a zatim iskoristio taj kod da razvije sopstvenu verziju alata.

"Drugi manje podržani scenariji, s obzirom na raspoložive tehničke dokaze, uključuju taj da je grupa Buckeye došla do alata dobijanjem pristupa neosiguranom ili slabo osiguranom serveru Equation grupe, ili da je neki član grupe Equation ili saradnik prosledio alate grupi Buckeye", kaže Symantec.

Izgleda da je grupa Buckeye prestala sa radom sredinom 2017. godine, a tri navodna člana grupe optužena su u SAD u novembru 2017. Međutim, Bemstour i DoublePulsar alati koje je koristila grupa su se koristiti čak i nakon toga, sve do kraja 2018. godine, sa različitim malverima.

Iako se ne zna ko je nastavio da koristi alate, istraživači veruju da je Buckeye grupa možda predala neke od svojih alata drugoj grupi ili "nastavila da radi duže nego što se pretpostavljalo".

Posle curenja hakerskih alata NSA, njih su koristili i severnokorejski hakeri i ruska obaveštajna služba.

Symantecov izveštaj ne ukazuje na to da postoji veza između između toga što je grupa Buckeye došla u posed hakerskih alata NSA i curenja alata koje je usledilo dosta kasnije zahvaljujući Shadow Brokersima.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Tramp potpisao zabranu transakcija američkih kompanija sa TikTokom i WeChatom

Tramp potpisao zabranu transakcija američkih kompanija sa TikTokom i WeChatom

Američki predsednik Donald Tramp potpisao je dve uredbe koje američkim firmama daju rok od 45 za prestanak poslovanja sa TikTokom i WeChatom zato š... Dalje

Canon pretrpeo napad ransomwarea, hakeri tvrde da su ukrali 10 terabajta podataka

Canon pretrpeo napad ransomwarea, hakeri tvrde da su ukrali 10 terabajta podataka

Samo nedelju dana nakon što se Garmin oporavio od napada ransomwarea, japanska kompanija Canon pretrpela je napad ransomwarea koji je uticao na brojn... Dalje

295 lažnih ekstenzija iz Chrome veb prodavnice koje koristi 80 miliona korisnika ubacuje oglase u rezultate pretrage

295 lažnih ekstenzija iz Chrome veb prodavnice koje koristi 80 miliona korisnika ubacuje oglase u rezultate pretrage

Više od 80 miliona korisnika Chromea instaliralo je neku od 295 ekstenzija za Chrome koje ubacuju oglase u rezultate Google i Bing pretrage. Zlonamer... Dalje

SAD nude nagradu od 10 miliona dolara za otkrivanje hakera koji se mešaju u američke izbore

SAD nude nagradu od 10 miliona dolara za otkrivanje hakera koji se mešaju u američke izbore

Američki predsednički izbori 2020. godine su za manje od 100 dana, a nastojeći da spreče strano mešanje u izbore kakvo se dogodilo na izborima 2... Dalje

WhatsApp ima novu opciju za brzu proveru informacija iz prosleđenih poruka

WhatsApp ima novu opciju za brzu proveru informacija iz prosleđenih poruka

Korisnici WhatsAppa bili su iznenađeni kada je aplikacija odjednom počela da prikazuje ikonu lupe pored prosleđenih poruka. Objašnjenje za to je n... Dalje