Reading Time: 2 minutes
Hackers chineses usaram as tools da NSA antes do grupo Shadow Brockers as tornar públicas.

Foi tornado público que um grupo de hackers supostamente patrocinado pela inteligência chinesa estava a usar alguns exploits ligados ao Equation Group da NSA quase um ano antes de o grupo Shadow Brockers tornar público o leak.

De acordo com um novo relatório publicado pela firma de segurança Symantec, um grupo ligado à China, chamado Buckeye, estava a utilizar as ferramentas ligadas a NSA em março de 2016, enquanto que o grupo Shadow Brokers so tornaram públicas algumas das ferramentas na Internet em abril de 2017.

nsa-leak

Ativo desde pelo menos 2009, o grupo Buckeye – também conhecido como APT3, Gothic Panda, UPS Team e TG-0110 – é responsável por um grande número de ataques de espionagem, principalmente contra organizações críticas e de defesa nos Estados Unidos.

Embora a Symantec não tenha citado a China no relatório, investigadores com alto grau de confiança atribuíram anteriormente [1,2] o grupo de Buckeye a uma empresa de segurança, chamada Boyusec, que trabalha em nome do Ministério de Segurança do Estado chinês.

A mais recente descoberta da Symantec é a prova de que os hackers chineses conseguiram obter algumas das ferramentas da NSA, incluindo EternalRomance, EternalSynergy e DoublePulsar, um ano antes de serem tornadas públicas pelos Shadow Brokers, um grupo misterioso que ainda não foi identificado.

De acordo com os investigadores, o grupo Buckeye usou a  ferramenta de exploração personalizada, apelidada de Bemstour, para fornecer uma variante do backdoor DoublePulsar para recolher informações e executar códigos maliciosos nos computadores/redes/infraestruturas-alvo.

A ferramenta Benstour foi projetada para explorar duas vulnerabilidades de dia zero (CVE-2019-0703 e CVE-2017-0143) no Windows para obter execução remota de código (RCE) no kernel de dispositivos Windows.
symantec-bemstour

A Microsoft abordou a vulnerabilidade CVE-2017-0143 em março de 2017, depois de descobrir que ela foi usada por dois exploits da NSA (EternalRomance e EternalSynergy) leaked pelo grupo Shadow Brokers.

Investigadores detetaram que os hackers da BuckEye estavam a usar a combinação de exploits SMB e DoublePulsar contra empresas de telecomunicações, bem como instituições científicas e educação em Hong Kong, Luxemburgo, Bélgica, Filipinas e Vietnã  entre março de 2016 a agosto de 2017.

A Symantec não sabe ainda como o grupo chinês obteve as ferramentas do Equation Group antes de estas terem sido leaked pelo grupo de hackers Shadow Brockers. No entanto, a empresa diz que existe a possibilidade de o grupo de hackers chinês ter feito engenharia reversa aos ataques da Equation Group o que lhes permitiu construir a sua própria ferramenta.

“Other less supported scenarios, given the technical evidence available, include Buckeye obtaining the tools by gaining access to an unsecured or poorly secured Equation Group server, or that a rogue Equation group member or associate leaked the tools to Buckeye,” Symantec says.