據(jù)美國網絡安全公司賽門鐵克稱，中國網絡間諜組織使用NSA惡意軟件已超過一年，之后影子經紀人在網上泄露了同樣的漏洞，將其暴露給全世界。該團體 - 由Buckeye，APT3，Gothic Panda，TG-011和UPS等名稱的網絡安全供應商 - 在美國當局于2017年底向三名黑客收取費用之后臭名昭著。美國聲稱這三人是一家名為Boyusec的網絡安全公司的幕后黑手，該公司是中國國家安全部的前線，并且攻擊了Moody's Analytics，西門子和Trimble等西方公司。

該集團被認為是中國和政府支持的APT(高級持續(xù)性威脅)中的先進集合，可以訪問自己的定制工具和零天。

BUCKEYE集團自2016年起使用DOUBLEPULSAR后門

然而，在昨天發(fā)布的一份報告中，賽門鐵克表示，它發(fā)現(xiàn)有證據(jù)表明該組織在相同的惡意軟件被廣泛使用之前很久就已經使用過NSA開發(fā)的惡意軟件。

根據(jù)賽門鐵克發(fā)布的圖片，Buckeye集團自2016年3月起使用了DoublePulsar后門版本，超過13個月前，一群被稱為Shadow Brokers的神秘黑客在2017年4月在線泄露，作為更大緩存的一部分NSA黑客工具。

圖片：賽門鐵克

這家美國安全廠商表示，它沒有看到該組使用其他與NSA相關的惡意軟件，例如FuzzBunch框架，這是NSA網絡操作員用于在受感染主機上部署DoublePulsar后門的常用工具。

相反，中國團隊使用了自己的工具Bemstour。

但也有一個轉折點。賽門鐵克的研究人員表示，Buckeye使用的DoublePulsar版本與Shadow Brokers泄露的版本不同，暗示了不同的起源。

“它似乎包含針對較新版Windows(Windows 8.1和Windows Server 2012 R2)的代碼，表明它是惡意軟件的新版本，”賽門鐵克表示。“它還包括一層額外的混淆。”

GROUP曾在攻擊中積極使用NSA惡意軟件

至于中國黑客如何使用這個版本的DoublePulsar，似乎他們從未理解惡意軟件的全部功能。

賽門鐵克表示，Buckeye小組“通常使用[DoublePulsar]來執(zhí)行創(chuàng)建新用戶帳戶的shell命令”，但沒有意識到DoublePulsar擁有的該工具的先進秘密功能，這將使黑客能夠執(zhí)行更多其他操作。都隱藏了。

該小組僅在一些攻擊中使用了DoublePulsar，這表明他們并不信任它以及他們自己的工具。賽門鐵克報告稱，這一版本的DoublePulsar襲擊了比利時，盧森堡，越南，香港和菲律賓的組織 - 通常是為了竊取信息。

圖片：賽門鐵克

在其他一些世界上最大的網絡事件(例如WannaCry和NotPetya)中使用后，Buckeye集團在其他泄露的NSA工具(例如EternalBlue漏洞)獲得國際聲譽后，于2017年中期停止使用他們的DoublePulsar后門版本。勒索軟件爆發(fā)

這可能是因為到那時為止，大多數(shù)網絡安全供應商都能夠檢測到DoublePulsar感染，并且使用他們的DoublePulsar版本變得效率低下。

中國人是如何獲得NSA惡意軟件的?

但最大的謎團仍然是中國黑客團隊如何得到DoublePulsar后門。

賽門鐵克和絕大多數(shù)信息安全界都支持的理論是，Buckeye小組發(fā)現(xiàn)了NSA在中國系統(tǒng)上部署的后門，并且只是為了攻擊而重新定位它。

這解釋了中國黑客使用的不同DoublePulsar版本，與一年后被Shadow Appkers泄露的版本相比，很可能來自另一個來源。