Hacker Chino utilizaba herramientas de la NSA antes de que Shadow Brokers las publicara.
Ha causado un gran asombro la noticia que revelaba que un grupo de Hackers supuestamente patrocinados por el gobierno chino, utilizaba las herramientas filtradas por la NSA antes de que el grupo hacktivista Shadow Brokers las filtrara.
Según un nuevo informe publicado por la firma de ciberseguridad Symantec, un grupo vinculado a los chinos, al que llama Buckeye, estaba usando las herramientas de hacking vinculadas a la NSA desde marzo de 2016, mientras que los Shadow Brokers filtraron algunas de las herramientas en Internet en Abril del 2017.
Activo desde al menos 2009, Buckeye, también conocido como APT3, Gothic Panda, UPS Team y TG-0110, es responsable de una gran cantidad de ataques de espionaje, principalmente contra organizaciones críticas y de defensa en los Estados Unidos.
Aunque en el informe no se menciona explícitamente a China, los investigadores con un alto grado de confianza han atribuido previamente al grupo de Hacking Buckeye a una empresa de seguridad de la información, llamada Boyusec, que trabaja en nombre del Ministerio de Seguridad del Estado de China. .
El último descubrimiento proporciona la primera evidencia de que los piratas informáticos chinos patrocinados por el estado lograron adquirir algunas de las herramientas de piratería, incluidas EternalRomance, EternalSynergy y DoublePulsar, un año antes de ser filtrados por los Shadow Brokers, un grupo misterioso que aún no se ha identificado.
Según los investigadores, el grupo Buckeye usó su herramienta de explotación personalizada, llamada Bemstour, para entregar una variante del implante de puerta trasera DoublePulsar para recopilar sigilosamente información y ejecutar código malicioso en las computadoras seleccionadas.
La herramienta Benstour fue diseñada para explotar dos vulnerabilidades del día entonces cero (CVE-2019-0703 y CVE-2017-0143) en Windows para lograr la ejecución remota de código de kernel en computadoras específicas.
Microsoft abordó la vulnerabilidad CVE-2017-0143 en marzo de 2017 después de que se descubrió que fue utilizada por dos explotaciones de la NSA (EternalRomance y EternalSynergy) que fueron filtradas por el grupo de Shadow Brokers.
La falla desconocida del servidor SMB de Windows (CVE-2019-0703) fue descubierta e informada por Symantec a Microsoft en septiembre de 2018 y fue reparada por el gigante tecnológico el mes pasado.
Los investigadores detectaron a los hackers de BuckEye utilizando la combinación del exploit SMB y la puerta trasera DoublePulsar para dirigirse a las compañías de telecomunicaciones, así como a las instituciones de investigación científica y educación en Hong Kong, Luxemburgo, Bélgica, Filipinas y Vietnam desde marzo de 2016 hasta agosto de 2017.
Si bien no se sabe cómo los hackers chinos obtuvieron las herramientas de Equation Group antes de la filtración de Shadow Brokers, la firma de seguridad afirma que existe la posibilidad de que Buckeye haya capturado el código de un ataque de la NSA en sus propias computadoras y luego diseñó la ingeniería inversa.
Buckeye pareció suspender sus operaciones a mediados de 2017, y tres supuestos miembros del grupo fueron acusados en noviembre de 2017. Sin embargo, incluso después de eso, las herramientas de Bemstour y DoublePulsar utilizadas por Buckeye siguieron siendo utilizadas hasta finales de 2018 en conjunto con diferentes programas maliciosos.
Aunque se desconoce quién siguió utilizando las herramientas, los investigadores creen que el grupo Buckeye pudo haber pasado algunas de sus herramientas a otro grupo o “continuó operando más de lo que se suponía”.
Después de la filtración de Shadow Brokers, los hackers norcoreanos y la inteligencia rusa utilizaron las herramientas de explotación vinculadas a la NSA, aunque el informe de Symantec no sugiere una conexión aparente entre la adquisición de herramientas por parte de Buckeye y la filtración de Shadow Brokers.
Ver información original al respecto en Fuente>
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.