براساس گزارش جدیدی که توسط شرکت امنیت سایبری سیمانتیک منتشر شده است، یک گروه وابسته به چین که Buckeye نامیده میشود، از ماه مارس سال ۲۰۱۶ میلادی از ابزارهای نفوذ وابسته به آژانس امنیت ملی امریکا (NSA) استفاده میکرد، درحالیکه گروه Shadow Brokers برخی از این ابزارها را در ماه آوریل سال ۲۰۱۷ میلادی در اینترنت منتشر کرده است.
گروه Buckeye که حداقل از سال ۲۰۰۹ میلادی فعال است، مسئول بسیاری از حملات جاسوسی است که عمدتاً علیه سازمانهای دفاعی و حساس امریکا انجام شده است. اگرچه سیمانتیک در گزارش خود بهطور صریح از چین نامی نبرده است، اما پژوهشگران با اطمینان بالایی این گروه نفوذ را به یک شرکت امنیت اطلاعاتی به نام Boyusec نسبت دادهاند که تحت حمایت وزارت امنیت ملی چین فعالیت میکند.
کشف اخیر سیمانتیک نشان میدهد که نفوذگران تحت حمایت چین موفق شدند برخی از ابزارهای نفوذ ازجمله EternalRomance، EternalSynergy و DoublePulsar را یک سال قبل از انتشار آنها توسط Shadow Brokers به دست آورند. بهگفتهی پژوهشگران، گروه Buckeye از ابزار بهرهبرداری سفارشی خود به نام Bemstour استفاده کرده است تا نوعی از دربپشتی DoublePulsar را توزیع کند تا بهطور مخفیانه اطلاعات را جمعآوری کند و کد مخرب را در رایانههای هدف اجرا کند.
Bemstour برای بهرهبرداری از دو آسیبپذیری روز-صفرم (CVE-2019-0703 و CVE-2017-0143) در ویندوز طراحی شده بود تا به اجرای کد کرنل راه دور در رایانههای هدف دست یابد. مایکروسافت آسیبپذیری CVE-2017-0143 را در ماه مارس سال ۲۰۱۷ میلادی و پس از آنکه متوجه شد توسط دو بهرهبرداری EternalRomance و EternalSynergy مورد استفاده قرار گرفته است، رفع کرد.
آسیبپذیری SMB Server ویندوز نیز توسط سیمانتیک کشف و در ماه سپتامبر سال ۲۰۱۸ میلادی به مایکروسافت گزارش شد و مایکروسافت نیز ماه گذشته آن را وصله کرد. پژوهشگران مشاهده کردهاند که نفوذگران Buckeye از ماه مارس سال ۲۰۱۶ میلادی تا ماه آگوست سال ۲۰۱۷ میلادی از ترکیب بهرهبرداری SMB و دربپشتی DoublePulsar استفاده میکند تا شرکتهای مخابراتی، مؤسسههای پژوهش علمی و آموزشی در هنگکنگ، لوکزامبورگ، بلژیک، فیلیپین و ویتنام را هدف قرار دهد.
بااینکه سیمانتیک نمیداند که نفوذگران چینی چگونه به ابزارهای گروه Equation قبل از افشای آنها توسط گروه Shadow Brokers دست یافتهاند، اما بیان میکند که این احتمال وجود دارد که Buckeye این کدها را از یک حملهی NSA به رایانههای خود آنها به دست آورده باشد و پس از آن بدافزار را مهندسی معکوس کرده است تا نسخهی سفارشی خود را توسعه دهد. بهگفتهی سیمانتیک باتوجه به شواهد فنی موجود، فرضیههایی با احتمال کم نیز وجود دارد که شامل مورادی مانند دسترسی یافتن به یک سرور ناامن یا با امنیت ضعیف و یا افشای این ابزارها توسط یکی از اعضای گروه Equation است.
