Peretas Cina Menggunakan Alat Peretasan NSA Sebelum Shadow Brokers Membocorkan Mereka - Otak Kita

Peretas Cina Menggunakan Alat Peretasan NSA Sebelum Shadow Brokers Membocorkan Mereka


Otak Kita - Dalam sebuah wahyu yang mengejutkan, ternyata sebuah kelompok peretasan yang diyakini disponsori oleh intelijen Tiongkok telah menggunakan beberapa eksploitasi nol hari yang terkait dengan NSA's Equation Group hampir setahun sebelum kelompok misterius Pialang Bayangan membocorkannya.

Menurut sebuah laporan baru yang diterbitkan oleh perusahaan cybersecurity Symantec, sebuah kelompok yang terkait dengan China, yang mereka sebut Buckeye , menggunakan alat peretasan terkait-NSA sejauh Maret 2016, sementara Shadow Brokers membuang beberapa alat di Internet di April 2017.

Aktif setidaknya sejak 2009, Buckeye — juga dikenal sebagai APT3, Panda Gotik, Tim UPS, dan TG-0110 — bertanggung jawab atas sejumlah besar serangan spionase, terutama terhadap organisasi pertahanan dan organisasi penting di Amerika Serikat.

Meskipun Symantec tidak secara eksplisit menyebutkan nama China dalam laporannya, para peneliti dengan tingkat kepercayaan yang tinggi sebelumnya menghubungkan [ 1 , 2 ] kelompok peretas Buckeye dengan perusahaan keamanan informasi, bernama Boyusec, yang bekerja atas nama Kementerian Keamanan Negara Tiongkok. .

Penemuan terbaru Symantec memberikan bukti pertama bahwa peretas yang disponsori negara China berhasil mendapatkan beberapa alat peretasan, termasuk EternalRomance , EternalSynergy , dan DoublePulsar , setahun sebelum dibuang oleh Shadow Brokers, sebuah kelompok misterius yang masih belum diidentifikasi.

Menurut para peneliti, kelompok Buckeye menggunakan alat eksploit adatnya, dijuluki Bemstour , untuk mengirimkan varian implan pintu belakang DoublePulsar untuk mengumpulkan informasi secara diam-diam dan menjalankan kode berbahaya pada komputer yang ditargetkan.

Alat Benstour dirancang untuk mengeksploitasi dua kerentanan pada masa itu (CVE-2019-0703 dan CVE-2017-0143) di Windows untuk mencapai eksekusi kode kernel jarak jauh pada komputer yang ditargetkan.



Microsoft menangani kerentanan CVE-2017-0143 pada Maret 2017 setelah ditemukan telah digunakan oleh dua eksploitas NSA (EternalRomance dan EternalSynergy) yang dibocorkan oleh grup Shadow Brokers.

Kesalahan Windows SMB Server yang sebelumnya tidak diketahui (CVE-2019-0703) ditemukan dan dilaporkan oleh Symantec ke Microsoft pada September 2018 dan ditambal oleh raksasa teknologi itu bulan lalu.

Para peneliti mendeteksi peretas BuckEye menggunakan kombinasi eksploitasi SMB dan pintu belakang DoublePulsar untuk menargetkan perusahaan telekomunikasi, serta penelitian ilmiah dan lembaga pendidikan di Hong Kong, Luksemburg, Belgia, Filipina, dan Vietnam dari Maret 2016 hingga Agustus 2017.

Bagaimana Peretas Tiongkok Menggunakan Alat Peretasan NSA?

Sementara Symantec tidak tahu bagaimana para peretas Cina mendapatkan alat-alat Equation Group sebelum Shadow Brokers bocor, perusahaan keamanan itu menyatakan ada kemungkinan bahwa Buckeye mungkin telah menangkap kode dari serangan NSA di komputer mereka sendiri dan kemudian merekayasa balik mesin tersebut. malware untuk mengembangkan versi alatnya sendiri.

    "Skenario lain yang kurang didukung, dengan bukti teknis yang tersedia, termasuk Buckeye yang mendapatkan alat dengan mendapatkan akses ke server Grup Persamaan yang tidak aman atau tidak diamankan dengan baik, atau bahwa anggota grup Rekan atau rekanan yang nakal membocorkan alat kepada Buckeye," kata Symantec. 


Buckeye tampaknya menghentikan operasinya pada pertengahan 2017, dan tiga anggota kelompok yang diduga didakwa di Amerika Serikat pada November 2017. Namun, bahkan setelah itu, alat Bemstour dan DoublePulsar yang digunakan oleh Buckeye terus digunakan hingga akhir 2018 bersamaan. dengan berbagai malware.

Meskipun tidak diketahui siapa yang terus menggunakan alat, para peneliti percaya bahwa kelompok Buckeye mungkin telah menyerahkan beberapa alatnya ke kelompok lain atau "terus beroperasi lebih lama dari yang seharusnya."

Setelah Shadow Brokers bocor, alat eksploit terkait-NSA kemudian digunakan oleh peretas Korea Utara dan intelijen Rusia , meskipun laporan Symantec menunjukkan tidak ada hubungan yang jelas antara akuisisi alat Buckeye dan kebocoran Shadow Brokers.

Iklan Atas Artikel

Iklan Tengah Artikel 1

Iklan Tengah Artikel 2

Iklan Bawah Artikel