Een Chinese cyber-spionage groep had gebruikt NSA malware meer dan een jaar voordat de Schaduw Makelaars gelekt dezelfde exploits online, bloot te stellen aan de hele wereld, volgens ONS cyber-beveiligingsbedrijf Symantec.
De groep, gevolgd door cyber-security-leveranciers onder namen zoals Kastanje, APT3, Gotische Panda, TG-011, en UPS– is berucht na de AMERIKAANSE autoriteiten een toeslag van drie hackers eind 2017.
De VS beweerde dat de drie mannen waren achter een cyber-security bedrijf met de naam Boyusec dat fungeerde als een front voor het Chinese Ministerie van staatsveiligheid en had gehackt westerse bedrijven zoals Moody ‘ s Analytics, Siemens en Trimble.
De groep werd beschouwd als gevorderde onder het spectrum van de Chinese en door de overheid ondersteund APTs (advanced persistent threats), het hebben van toegang tot zijn eigen tools en zero-dagen.
Buckeye groep gebruikt DoublePulsar backdoor sinds 2016
Echter, in een rapport dat gisteren vrijgegeven, Symantec zei dat het bewijzen ontdekt dat dezelfde groep ook de NSA-ontwikkelde malware lang voor dezelfde malware werd op grote schaal beschikbaar voor iedereen.
Per een afbeelding vrijgegeven van Symantec, de Buckeye groep gebruikt een versie van de DoublePulsar backdoor sinds Maart 2016, meer dan 13 maanden voordat een mysterieuze groep van hackers bekend als de Schaduw Makelaars gelekt online in April 2017, als onderdeel van een groter cache van de NSA, hacking-tools.

Afbeelding: Symantec
×
buckeye-tijdlijn.png
De veiligheid van de VS verkoper zei dat het niet zien van de groep gebruik maken van andere NSA-linked malware, zoals de FuzzBunch kader van de normale gereedschap dat NSA ‘ s cyber-agenten werden gebruikt voor het implementeren van de DoublePulsar backdoor op geïnfecteerde hosts.
In plaats daarvan, de Chinese groep gebruikt haar eigen tool genaamd Bemstour.
Maar er is ook een twist. Symantec onderzoekers zeiden dat de DoublePulsar de versie die wordt gebruikt door Buckeye anders was het een gelekt door de Schaduw Makelaars, suggereert een andere afkomst.
“Het lijkt te bevatten code voor doel nieuwere versies van Windows (Windows 8.1 en Windows Server 2012 R2), dat aangeeft dat er een nieuwere versie van de malware,” Symantec zei. “Het bevat ook een extra laag van verwarring.”
De groep was actief gebruikt de NSA malware-aanvallen
Hoe het Chinese hackers waren het gebruik van deze versie van DoublePulsar, het blijkt dat ze nooit begrepen van de malware de volledige mogelijkheden.
Symantec zei de Buckeye groep “meestal gebruikt [DoublePulsar] om het uitvoeren van shell-commando’ s die nieuwe gebruiker-accounts,” zonder te beseffen dat het hulpprogramma geavanceerde stealth eigenschappen die DoublePulsar bezat, en dat zou hebben toegestaan dat de hackers uit te voeren veel meer andere activiteiten die zouden allemaal bleven verborgen.
De groep gebruikt DoublePulsar alleen in een paar aanvallen, wat suggereert dat ze niet vertrouwen en hun eigen tools. Symantec meldde het zien van deze versie van DoublePulsar in aanvallen op organisaties in België, Luxemburg, Vietnam, Hong Kong en de Filippijnen –meestal voor diefstal van informatie.
Hong Kong, België | Hong Kong | Luxemburg | Filipijnen | Vietnam | |
Backdoor.Pirpi | Onbekend | Backdoor.Filensfer | Onbekend | Onbekend | |
Bemstour Exploiteren Tool (V1) | Bemstour Exploiteren Tool (V2) | Schaduw-Makelaars Lekken | Bemstour Exploiteren Tool (V1) | Bemstour Exploiteren Tool (V1 & V2) | Bemstour Exploiteren Tool (V2) |
DoublePulsar | DoublePulsar (32-bits) of aangepaste laadvermogen (64-bit) | DoublePulsar | DoublePulsar (32-bits) of aangepaste laadvermogen (64-bit) | DoublePulsar (32-bits) of aangepaste laadvermogen (64-bit) |
Afbeelding: Symantec
×
buckeye-infographic.png
De Buckeye groep gestopt met hun versie van de DoublePulsar backdoor in midden-2017 na de andere gelekt NSA-instrumenten (zoals de EternalBlue uitbuiting) had vergaard internationale faam, na te zijn gebruikt in een aantal van ‘ s werelds grootste cyber-incidenten, zoals de WannaCry en NotPetya ransomware uitbraken
Dit werd waarschijnlijk gedaan omdat door dat punt, de meeste cyber-security leveranciers werden voor het opsporen van DoublePulsar infecties, en met hun versie van DoublePulsar werd inefficiënt.
Hoe heeft de Chinese toegang te krijgen tot de NSA malware?
Maar het grootste raadsel blijft hoe een Chinese hacker groep kreeg de handen op de DoublePulsar achterdeur.
De theorie die zowel Symantec en de overgrote meerderheid van de infosec gemeenschap gunsten is dat de Buckeye groep vond de achterdeur ingezet door de NSA op Chinese systemen, en gewoon opnieuw geformeerd voor hun aanvallen.
Dit verklaart de verschillende DoublePulsar versie dat Chinese hackers gebruikten, vergeleken met de één gelekt door de Schaduw Makelaars een jaar later, waarschijnlijk afkomstig uit een andere bron.
Gerelateerde malware en cybercriminaliteit dekking:
Een hacker is af te vegen Git repositories en vragen om een ransomHackers stelen van de gegevens van de kaart van 201 online campus winkels van Canada en de USWindows Server hosting provider nog steeds naar beneden een week na ransomware attackSurge van MegaCortex ransomware aanvallen detectedMalvertiser achter 100+ miljoen slecht advertenties gearresteerd en uitgeleverd aan de USHacker neemt 29 IoT botnetsThe donkere web is kleiner en minder gevaarlijk dan we denken TechRepublicSpel der Tronen heeft de meeste malware van illegale TV-show CNET
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters