據(jù)美國網絡安全公司賽門鐵克稱,中國網絡間諜組織使用NSA惡意軟件已超過一年,之后影子經紀人在網上泄露了同樣的漏洞,將其暴露給全世界。該團體 - 由Buckeye,APT3,Gothic Panda,TG-011和UPS等名稱的網絡安全供應商 - 在美國當局于2017年底向三名黑客收取費用之后臭名昭著。美國聲稱這三人是一家名為Boyusec的網絡安全公司的幕后黑手,該公司是中國國家安全部的前線,并且攻擊了Moody's Analytics,西門子和Trimble等西方公司。
該集團被認為是中國和政府支持的APT(高級持續(xù)性威脅)中的先進集合,可以訪問自己的定制工具和零天。
BUCKEYE集團自2016年起使用DOUBLEPULSAR后門
然而,在昨天發(fā)布的一份報告中,賽門鐵克表示,它發(fā)現(xiàn)有證據(jù)表明該組織在相同的惡意軟件被廣泛使用之前很久就已經使用過NSA開發(fā)的惡意軟件。
根據(jù)賽門鐵克發(fā)布的圖片,Buckeye集團自2016年3月起使用了DoublePulsar后門版本,超過13個月前,一群被稱為Shadow Brokers的神秘黑客在2017年4月在線泄露,作為更大緩存的一部分NSA黑客工具。
圖片:賽門鐵克
這家美國安全廠商表示,它沒有看到該組使用其他與NSA相關的惡意軟件,例如FuzzBunch框架,這是NSA網絡操作員用于在受感染主機上部署DoublePulsar后門的常用工具。
相反,中國團隊使用了自己的工具Bemstour。
但也有一個轉折點。賽門鐵克的研究人員表示,Buckeye使用的DoublePulsar版本與Shadow Brokers泄露的版本不同,暗示了不同的起源。
“它似乎包含針對較新版Windows(Windows 8.1和Windows Server 2012 R2)的代碼,表明它是惡意軟件的新版本,”賽門鐵克表示。“它還包括一層額外的混淆。”
GROUP曾在攻擊中積極使用NSA惡意軟件
至于中國黑客如何使用這個版本的DoublePulsar,似乎他們從未理解惡意軟件的全部功能。
賽門鐵克表示,Buckeye小組“通常使用[DoublePulsar]來執(zhí)行創(chuàng)建新用戶帳戶的shell命令”,但沒有意識到DoublePulsar擁有的該工具的先進秘密功能,這將使黑客能夠執(zhí)行更多其他操作。都隱藏了。
該小組僅在一些攻擊中使用了DoublePulsar,這表明他們并不信任它以及他們自己的工具。賽門鐵克報告稱,這一版本的DoublePulsar襲擊了比利時,盧森堡,越南,香港和菲律賓的組織 - 通常是為了竊取信息。
2016年3月 | 2016年9月 | 2017年4月 | 2017年6月 | 2017年6月 | 2017年8月 |
---|---|---|---|---|---|
香港,比利時 | 香港 | 盧森堡 | 菲律賓 | 越南 | |
Backdoor.Pirpi | 未知 | Backdoor.Filensfer | 未知 | 未知 | |
Bemstour漏洞利用工具(V1) | Bemstour漏洞利用工具(V2) | 影子經紀人泄漏 | Bemstour漏洞利用工具(V1) | Bemstour漏洞利用工具(V1和V2) | Bemstour漏洞利用工具(V2) |
DoublePulsar | DoublePulsar(32位)或僅自定義有效負載(64位) | DoublePulsar | DoublePulsar(32位)或僅自定義有效負載(64位) | DoublePulsar(32位)或僅自定義有效負載(64位) |
圖片:賽門鐵克
在其他一些世界上最大的網絡事件(例如WannaCry和NotPetya)中使用后,Buckeye集團在其他泄露的NSA工具(例如EternalBlue漏洞)獲得國際聲譽后,于2017年中期停止使用他們的DoublePulsar后門版本。勒索軟件爆發(fā)
這可能是因為到那時為止,大多數(shù)網絡安全供應商都能夠檢測到DoublePulsar感染,并且使用他們的DoublePulsar版本變得效率低下。
中國人是如何獲得NSA惡意軟件的?
但最大的謎團仍然是中國黑客團隊如何得到DoublePulsar后門。
賽門鐵克和絕大多數(shù)信息安全界都支持的理論是,Buckeye小組發(fā)現(xiàn)了NSA在中國系統(tǒng)上部署的后門,并且只是為了攻擊而重新定位它。
這解釋了中國黑客使用的不同DoublePulsar版本,與一年后被Shadow Appkers泄露的版本相比,很可能來自另一個來源。