خلاصه: سیمانتک اعلام کرد که یکی از ابزارهای مرتبط با NSA بیش از یک سال قبل از اینکه توسط گروه مرموز Shadow Brokers افشا شود، توسط یکی از عوامل تهدیدی چینی استفاده میشده است. نسخههای استفاده شده توسط این گروه، جدیدتر از نسخهی افشا شده توسط ShadowBroker است. این گروه از دو ابزار DoublePulsar و Bemstour استفاده میکرده است.
سیمانتک اعلام کرد که یکی از ابزارهای مرتبط با NSA بیش از یک سال قبل از اینکه توسط گروه مرموز Shadow Brokers افشا شود، توسط یکی از عوامل تهدیدی چینی استفاده میشده است. این گروه جاسوسی سایبری با نامهای Buckeye، APT3، UPS Team، Gothic Panda و TG-0110 ردیابی میشود و بهگفتهی محققان با وزارت امنیت ملی چین مرتبط شده است. این گروه حداقل از سال ۲۰۰۹، فعال بوده است و ظاهرا در سال ۲۰۱۷ عملیات خود را متوقف کرده است.
در اواخر نوامبر ۲۰۱۷ دولت ایالات متحده، اتهاماتی را علیه سه شهروند چینی اعلام کرد. این اتهامات بهخاطر حملاتی بود که توسط گروهی هکری علیه Simenes، Trimble و Moody’s Analytics راهاندازی شده بود.
حملات Buckeye شامل چندین بدفزار ازجمله یک دربپشتی شناخته شده با نام DoublePulsar و یک ابزار اکسپلویت با نام Bemstour است که برای توزیع بدافزار استفاده شده است.
DoublePulsar در آوریل ۲۰۱۷ زمانی که توسط Shadow Brokers افشا شد، شناخته شده است.
گروه Shadow Brokers در ماه اوت ۲۰۱۶ اعلام کردند که گروه Equation (یک گروه تهدید که معتقد است توسط سازمان امنیت ملی ایالات متحده (NSA) حمایت میشود) را هک کرده است. در طی ماههای بعد، Shadow Brokers ابزارهای زیادی که از گروه Equation به دست آورد را افشا کرد و ظاهرا تلاش کرده تا با فروش و حراج ددههای به سرقت رفته سودی به دست آورد.
DoublePulsar یک دربپشتی SMB سطح بالا است که به مهاجمان امکان کنترل سیستمهای آلوده شده را میدهد.
ابزار Bemstour طراحی شده بود تا از دو آسیبپذیری روز صفر CVE-2019-0703 و CVE-2017-0143 در ویندوز برای دستیابی به اجرای کد کرنل از راه دور بر روی کامپیوتر هدف، بهرهبرداری کند.
اکنون متخصصان سیمانتک دریافتهاند که گروه Buckeye در اوایل ماه مارچ ۲۰۱۶ از نوعی از DoublePulsar در یک حملهی هدفمند استفاده کرده است. نسخهی استفادهشدهی DoublePulsar در آن حمله، جدیدتر از نسخهی افشا شده توسط ShadowBroker است.
