Hackers chineses usaram ferramentas de hacking da NSA

Em uma revelação chocante, descobriu-se que um grupo de hackers supostamente patrocinado pela inteligência chinesa vinha usando algumas das explorações do dia- a -dia ligadas ao Equation Groupda NSA quase um ano antes que o misterioso grupo Shadow Brokers as divulgasse.

De acordo com um novo relatório publicado pela firma de segurança cibernética Symantec, um grupo ligado à China, que ele chama de Buckeye , estava usando as ferramentas de hackers ligadas a NSA em março de 2016, enquanto os Shadow Brokers despejaram algumas das ferramentas na Internet. Abril de 2017.

Ativa desde pelo menos 2009, a Buckeye – também conhecida como APT3, Gothic Panda, UPS Team e TG-0110 – é responsável por um grande número de ataques de espionagem, principalmente contra organizações críticas e de defesa nos Estados Unidos. Embora a Symantec não tenha mencionado explicitamente a China em seu relatório, pesquisadores com alto grau de confiança atribuíram [ 1 , 2 ] o grupo de hackers Buckeye a uma empresa de segurança da informação, chamada Boyusec, que trabalha em nome do Ministério de Segurança do Estado chinês. . Mais recente descoberta da Symantec fornece a primeira evidência de que hackers patrocinados pelo Estado chinês conseguiu adquirir algumas das ferramentas de hacking, incluindo EternalRomance , EternalSynergy e DoublePulsar

, um ano antes de ser abandonado pelos Shadow Brokers, um grupo misterioso que ainda não foi identificado.

De acordo com os pesquisadores, o grupo Buckeye usou sua ferramenta de exploração personalizada, apelidada de Bemstour , para fornecer uma variante do implante backdoor DoublePulsar para coletar informações furtivamente e executar códigos maliciosos nos computadores-alvo.

A ferramenta Benstour foi projetada para explorar duas vulnerabilidades de dia zero (CVE-2019-0703 e CVE-2017-0143) no Windows para obter a execução remota de código do kernel em computadores de destino.

Buckeye nsa hackeando ferramentas

A Microsoft abordou a vulnerabilidade CVE-2017-0143 em março de 2017, depois de descobrir que ela foi usada por dois exploits da NSA (EternalRomance e EternalSynergy) que vazaram pelo grupo Shadow Brokers.

A falha anteriormente desconhecida do Windows SMB Server (CVE-2019-0703) foi descoberta e relatada pela Symantec à Microsoft em setembro de 2018 e corrigida pela gigante de tecnologia no mês passado.Pesquisadores detectaram hackers da BuckEye usando a combinação de exploração SMB e backdoor DoublePulsar para empresas de telecomunicações, bem como instituições de pesquisa científica e educação em Hong Kong, Luxemburgo, Bélgica, Filipinas e Vietnã de março de 2016 a agosto de 2017.

Como os hackers chineses pegaram as ferramentas de hacking da NSA?

Enquanto a Symantec não sabe como os hackers chineses pegaram as ferramentas do Equation Group antes do vazamento do Shadow Brokers, a empresa de segurança afirma que existe a possibilidade de que a Buckeye tenha capturado o código de um ataque NSA em seus próprios computadores e então tenha feito engenharia reversa. malware para desenvolver sua própria versão das ferramentas.

“Outros cenários menos suportados, dada a evidência técnica disponível, incluem a Buckeye obtendo as ferramentas obtendo acesso a um servidor Equation Group inseguro ou mal protegido, ou que um membro ou um membro desonesto do grupo Equation vazou as ferramentas para a Buckeye”, diz Symantec.

A Buckeye pareceu cessar suas operações em meados de 2017, e três supostos membros do grupoforam indiciados nos Estados Unidos em novembro de 2017. No entanto, mesmo depois disso, as ferramentas Bemstour e DoublePulsar usadas pela Buckeye continuaram sendo usadas até o final de 2018 em conjunto. com malwares diferentes.

Embora não se saiba quem continuou usando as ferramentas, os pesquisadores acreditam que o grupo Buckeye pode ter passado algumas de suas ferramentas para outro grupo ou “continuar operando mais do que o suposto”.

Depois que o Shadow Brokers vazou, as ferramentas de exploração vinculadas à NSA foram usadas por hackers norte-coreanos  e pela inteligência russa., embora o relatório da Symantec não sugira conexão aparente entre a aquisição de ferramentas da Buckeye e o vazamento do Shadow Brokers.

fonte:  Thehackernews

Canal theevolutiontech

Apenas mais um fã da grande rede , um maluco pela internet que passa grande parte do tempo conectado sempre a procura de novidades online , e sempre achando já que a rede é movida por novidades ...

Deixe um Comentário !