Çinli Hackerlar Shadow Broker'lar Sızdırmadan Önce NSA Hacking Tools'u Kullandı 1

Çinli Hackerlar Shadow Broker’lar Sızdırmadan Önce NSA Hacking Tools’u Kullandı

Şok edici bir açıklamada, Çin istihbaratı tarafından desteklendiğine inanılan bir bilgisayar korsanlığı grubunun, gizemli Shadow Brokers grubunun onlardan neredeyse bir yıl önce NSA Denklem Grubuna bağlı sıfır günlük kullanımların bir kısmını kullandığı ortaya çıktı.
Buckeye adını verdiği Çin bağlantılı bir grup olan siber güvenlik firması Symantec tarafından yayınlanan yeni bir rapora göre, Mart 2016’ya kadar NSA bağlantılı korsanlık araçlarını kullanıyorken Shadow Brokers’ın İnternet’teki bazı araçlarını İnternet’te bırakması Nisan 2017

Nerden baksan 2009’dan beri aktif olan Buckeye (APT3, Gotik Panda, UPS Ekibi ve TG-0110 olarak da bilinir), esas olarak ABD’deki savunma ve kritik organizasyonlara karşı yapılan çok sayıda casusluk saldırısından sorumludur.

Her ne kadar Symantec, raporunda Çin’e açıkça isim vermemiş olsa da, yüksek güven derecesi olan araştırmacılar daha önce [1,2] Buckeye hack grubunu, Çin Devlet Güvenlik Bakanlığı adına çalışan Boyusec adlı bir bilgi güvenliği şirketine bağladılar. .
Symantec’in son keşfi, Çinli devlet destekli hackerların, halen tanımlanamayan bir grup Shadow Brokers tarafından terkedilmeden bir yıl önce, EternalRomance, EternalSynergy ve DoublePulsar dahil olmak üzere bazı hackleme araçlarından bazılarını elde etmeyi başardıklarının ilk kanıtını sunuyor.
Araştırmacılara göre, Buckeye grubu, gizli bilgi toplama ve hedeflenen bilgisayarlarda kötü amaçlı kod çalıştırmak için çeşitli bir DoublePulsar arka kapı implantı çeşidi sunmak için Bemstour adlı özel yararlanma aracını kullandı.
Benstour aracı, hedeflenen bilgisayarlarda uzaktan çekirdek kodu yürütmesini sağlamak için Windows’ta sıfırdan sonraki iki güvenlik açığından (CVE-2019-0703 ve CVE-2017-0143) yararlanacak şekilde tasarlanmıştır.

 

Çinli Hackerlar Shadow Broker'lar Sızdırmadan Önce NSA Hacking Tools'u Kullandı 2
Microsoft, Shadow Brokers grubu tarafından sızdırılmış iki NSA saldırısı (EternalRomance ve EternalSynergy) tarafından kullanıldığı tespit edildikten sonra Mart 2017’deki CVE-2017-0143 güvenlik açığını gidermiştir.

Daha önce bilinmeyen Windows SMB Sunucu hatası (CVE-2019-0703), Eylül 2018’de Symantec tarafından Microsoft’a keşfedildi ve raporlandı ve geçen ay teknoloji devi tarafından yamalandı.

Araştırmacılar, BuckEye’nin bilgisayar korsanlarını SMB istismarının ve DoublePulsar arka kapısının kombinasyonunu kullanarak telekomünikasyon şirketlerinin yanı sıra Hong Kong, Lüksemburg, Belçika, Filipinler ve Vietnam’daki Mart 2016 ile Ağustos 2017 arasındaki bilimsel araştırma ve eğitim kurumlarını kullanarak tespit etti.
Çinli Hackerlar NSA Hacking Tools’u Nasıl Ele Aldılar?
Symantec, Çinli hackerların Shadow Brokers’ı sızdırmadan önce Denklem Grubu araçlarını nasıl elde ettiğini bilmese de, güvenlik firması Buckeye’nın kodu kendi bilgisayarlarına NSA saldırısından almış ve daha sonra tersine mühendislik yapmış olabileceğini söylüyor. kötü amaçlı yazılım araçları kendi sürümünü geliştirmek için.

Symantec, “Mevcut teknik kanıtlar göz önüne alındığında, daha az desteklenen diğer senaryolar arasında, emniyetsiz veya kötü güvenlikli bir Denklem Grubu sunucusuna erişim sağlayarak araçları elde etmeyi ya da haydut bir Denklem grubu üyesinin veya birisinin Buckeye’ye araçları sızdırdığını belirten Buckeye içerir.”

Buckeye, 2017’nin ortalarında faaliyetlerini durdurmuş gibi göründü ve grubun iddia edilen üç üyesinin Kasım 2017’de Amerika Birleşik Devletleri’nde suçlandı. Ancak bundan sonra bile, Buckeye tarafından kullanılan Bemstour ve DoublePulsar aletleri, 2018 yılının sonuna kadar birlikte kullanılmaya devam etti. farklı malware ile.
Araçları kullanmaya kimin devam ettiği bilinmese de, araştırmacılar Buckeye grubunun araçlarından bazılarını başka bir gruba geçirmiş olabileceğine ya da “beklenenden daha uzun süre çalışmaya devam edebileceğine” inanıyor.
Shadow Brokers sızıntısından sonra, Symantec raporunda Buckeye araçlarının ele geçirilmesi ile Shadow Brokers sızıntısı arasında bariz bir bağlantı bulunmadığını öne sürmesine rağmen, NSA bağlantılı sömürü araçları daha sonra Kuzey Koreli hackerlar ve Rus istihbaratı tarafından kullanıldı.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir