Айкидо по-китайски: КНР перехватила атаку АНБ и украла их кибероружие

Опубликовано at 17:32
82 0

Интересные пироги: оказывается, спецслужбы Китая (группировка Buckeye) еще до выставления на продажу украденного Shadow Brokers арсенала АНБ, перехватили это американское кибероружие во время атаки АНБ на китайские компьютеры в 2016 году. После этого они невозмутимо стали использовать оружие американцев, как свое собственное, сообщает специалисты компании Symantec.

Группировка Buckeye также известна как APT3, Gothic Panda, TG-011 и UPS. Согласно отчету Symantec, группировка использовала версию бэкдора DoublePulsar с марта 2016 года – за 12 месяцев до того, как The Shadow Brokers опубликовала содержащий данный инструмент дамп (в апреле 2017 года).

При этом специалисты не нашли свидетельств, что группировка задействовала в своих атаках другие инструменты АНБ, такие как фреймворк FuzzBunch, обычно используемый для установки бэкдора. Вместо этого Buckeye применяла собственный троян под названием Bemstour, эксплуатирующий две уязвимости в Windows, — CVE-2019-0703 и CVE-2017-0143. Первая представляет собой уязвимость раскрытия информации, которая в сочетании с другими уязвимостями предоставляет возможность удаленного выполнения кода, а вторая – баг в SMB-сервере, позволяющий удаленно выполнить код. CVE-2017-0143 была исправлена в марте 2017 года, а CVE-2019-0703 Microsoft устранила в марте 2019 года.

Специалисты отмечают, что Buckeye применяла версию DoublePulsar, отличающуюся от опубликованной The Shadow Brokers. В частности, она содержала код, предназначенный для атак на более новые версии Windows (Windows 8.1 и Windows Server 2012 R2), также в ней был реализован дополнительный слой обфускации.

Инструмент использовался только в нескольких атаках, отмечают исследователи, в основном против организаций в Бельгии, Люксембурге, Филиппинах, Вьетнаме и Гонконге. Основной целью атак была кража информации. Группировка прекратила использовать DoublePulsar в середине 2017 года после того, как атаки с применением других эксплоитов АНБ (EternalBlue и прочих) начали привлекать пристальное внимание общественности.

NYT также опубликовала довольно конспирологическую теорию, что в 2017 году перехваченный Buckeye код использовался Северной Кореей и Россией для массовых (совместных?!) кибератак под общим названием NotPetya.

Ранее АКБ рассказывала, что супербэкдор DoublePulsar, который в 2016 году украли у АНБ хакеры The Shadow Brokers был доработан энтузиастом под ОС Windows IoT Core, предназначенную для применения на устройствах из категории «Интернета вещей».

DoublePulsar — это мощный бэкдор, позволяющий получить доступ к скомпрометированным системам. Программу применяется совместно с другими инструментами АНБ, такими как фреймворк FuzzBunch, эксплоит-паки EternalBlue, EternalSynergy, EternalRomance итд. До настоящего времени DoublePulsar мог работать на компьютерах под управлением всех крупных редакций Windows, за исключением Windows 10.

На практике модификация DoublePulsar значит, что теперь эксплоит АНБ может контролировать ваш умный дом, если его ПО не было обновлено. В качестве защитной меры эксперты рекомендуют установить пакет обновлений MS17-010, включающий патчи, устраняющие уязвимости, эксплуатируемые хакерскими инструментами и эксплоитами, опубликованными The Shadow Brokers, в том числе DoublePulsar.

Напомним также, что в марте ВМС США пожаловались на то, что и они сами, и их подрядчики подвергаются непрекращающимся кибератакам со стороны иностранных противников, в основном, китайцев.

К такому выводу пришли эксперты ВМС США по результатам внутренней проверки, сообщает The Wall Street Journal. По данным специалистов, военно-морские силы США находятся в «киберблокаде» китайских хакеров, работающими в интересах китайского флота. Кибершпионы регулярно атакуют ВМС США, военных подрядчиков и даже университеты, сотрудничающие с американским флотом.

«Мы находимся в блокаде. Это как смертельный вирус – если мы ничего не предпримем, то можем погибнуть», – заявил один из высокопоставленных представителей ВМС США.

Журналисты The Wall Street Journal ранее охарактеризовали результаты внутренней проверки кибербезопасности ВМС США как «ужасные». Минобороны США, изучив состояние своих активов, пришло к неутешительному выводу: кибербезопасность американской армии на несколько лет отстает от арсенала хакеров, и просто неадекватна текущим угрозам. Больше всего проблем у Пентагона с ИИ и машинным обучением.

Подписываемся, следим @CyberAgency

Related Post