استفاده‌ی نفوذگران چینی از ابزارهای نفوذ NSA قبل از افشای آن‌ها توسط گروه Shadow Brokers

براساس گزارش جدیدی که توسط شرکت امنیت سایبری سیمانتیک منتشر شده است، یک گروه وابسته به چین که Buckeye نامیده می‌شود، از ماه مارس سال ۲۰۱۶ میلادی از ابزارهای نفوذ وابسته به آژانس امنیت ملی امریکا (NSA) استفاده می‌کرد، درحالی‌که گروه Shadow Brokers برخی از این ابزارها را در ماه آوریل سال ۲۰۱۷ میلادی در اینترنت منتشر کرده است.

گروه Buckeye که حداقل از سال ۲۰۰۹ میلادی فعال است، مسئول بسیاری از حملات جاسوسی است که عمدتاً علیه سازمان‌های دفاعی و حساس امریکا انجام شده است. اگرچه سیمانتیک در گزارش خود به‌طور صریح از چین نامی نبرده است، اما پژوهش‌گران با اطمینان بالایی این گروه نفوذ را به یک شرکت امنیت اطلاعاتی به نام Boyusec نسبت داده‌اند که تحت حمایت وزارت امنیت ملی چین فعالیت می‌کند.

کشف اخیر سیمانتیک نشان می‌دهد که نفوذگران تحت حمایت چین موفق شدند برخی از ابزارهای نفوذ ازجمله EternalRomance، EternalSynergy و DoublePulsar را یک سال قبل از انتشار آن‌ها توسط Shadow Brokers به دست آورند. به‌گفته‌ی پژوهش‌گران، گروه Buckeye از ابزار بهره‌برداری سفارشی خود به نام Bemstour استفاده کرده است تا نوعی از درب‌پشتی DoublePulsar را توزیع کند تا به‌طور مخفیانه اطلاعات را جمع‌آوری کند و کد مخرب را در رایانه‌های هدف اجرا کند.

Bemstour برای بهره‌برداری از دو آسیب‌پذیری روز-صفرم (CVE-2019-0703 و CVE-2017-0143) در ویندوز طراحی شده بود تا به اجرای کد کرنل راه دور در رایانه‌های هدف دست یابد. مایکروسافت آسیب‌پذیری CVE-2017-0143‌ را در ماه مارس سال ۲۰۱۷ میلادی و پس از آن‌که متوجه شد توسط دو بهره‌برداری EternalRomance و EternalSynergy مورد استفاده قرار گرفته است، رفع کرد.

آسیب‌پذیری SMB Server ویندوز نیز توسط سیمانتیک کشف و در ماه سپتامبر سال ۲۰۱۸ میلادی به مایکروسافت گزارش شد و مایکروسافت نیز ماه گذشته آن را وصله کرد. پژوهش‌گران مشاهده کرده‌اند که نفوذگران Buckeye از ماه مارس سال ۲۰۱۶ میلادی تا ماه آگوست سال ۲۰۱۷ میلادی از ترکیب بهره‌برداری SMB و درب‌پشتی DoublePulsar استفاده می‌کند تا شرکت‌های مخابراتی، مؤسسه‌های پژوهش علمی و آموزشی در هنگ‌کنگ، لوکزامبورگ، بلژیک، فیلیپین و ویتنام را هدف قرار دهد.

بااین‌که سیمانتیک نمی‌داند که نفوذگران چینی چگونه به ابزارهای گروه Equation قبل از افشای آن‌ها توسط گروه Shadow Brokers دست یافته‌اند، اما بیان می‌کند که این احتمال وجود دارد که Buckeye این کدها را از یک حمله‌ی NSA به رایانه‌های خود آن‌ها به دست آورده باشد و پس از آن بدافزار را مهندسی معکوس کرده است تا نسخه‌ی سفارشی خود را توسعه دهد. به‌گفته‌ی سیمانتیک باتوجه به شواهد فنی موجود، فرضیه‌هایی با احتمال کم نیز وجود دارد که شامل مورادی مانند دسترسی یافتن به یک سرور ناامن یا با امنیت ضعیف و یا افشای این ابزارها توسط یکی از اعضای گروه Equation است.

منبع

Related posts

Leave a Comment

11 − 1 =