Hackers Chineses Utilizavam Ferramentas da NSA Antes do Vazamento

Publicado por Igor Matsunaga em

Resultado de imagem para Chinese Hackers Used NSA Hacking Tools Before Shadow Brokers Leaked Them

Em uma revelação chocante, descobriu-se que um grupo de hackers supostamente patrocinado pela inteligência chinesa vinha usando algumas das explorações zero-day ligadas ao Equation Group da NSA quase um ano antes do misterioso grupo Shadow Brokers as divulgar.

De acordo com um novo relatório publicado pela firma de segurança cibernética Symantec, um grupo ligado à China, que ele chama de Buckeye , estava usando as ferramentas de hackers ligadas a NSA em março de 2016, enquanto os Shadow Brokers apenas liberaram algumas das ferramentas na Internet em Abril de 2017.

Ativa desde pelo menos 2009, a Buckeye – também conhecida como APT3, Gothic Panda, UPS Team e TG-0110 – é responsável por um grande número de ataques de espionagem, principalmente contra organizações críticas e de defesa nos Estados Unidos.

Embora a Symantec não tenha mencionado explicitamente a China em seu relatório, pesquisadores com alto grau de confiança atribuíram [ 1 , 2 ] o grupo de hackers Buckeye a uma empresa de segurança da informação, chamada Boyusec, que trabalha em nome do Ministério de Segurança do Estado chinês. 

Mais recente descoberta da Symantec fornece a primeira evidência de que hackers patrocinados pelo Estado chinês conseguiu adquirir algumas das ferramentas de hacking, incluindo EternalRomance , EternalSynergy e DoublePulsar , um ano antes de ser despejado pelas Corretoras Shodow, um misterioso grupo ainda não identificado.

Segundo os pesquisadores, o grupo Buckeye usou sua ferramenta de exploração personalizada, apelidada de Bemstour., para fornecer uma variante do implante backdoor DoublePulsar para coletar informações furtivamente e executar códigos maliciosos nos computadores de destino.

A ferramenta Benstour foi projetada para explorar duas vulnerabilidades de dia zero (CVE-2019-0703 e CVE-2017-0143) no Windows para obter a execução remota de código do kernel em computadores de destino.

Buckeye nsa hackeando ferramentas

A Microsoft abordou a vulnerabilidade CVE-2017-0143 em março de 2017, depois de descobrir que ela foi usada por dois exploits da NSA (EternalRomance e EternalSynergy) que foram vazados pelo grupo Shadow Brokers.

A falha anteriormente desconhecida do Windows SMB Server (CVE-2019-0703) foi descoberta e relatada pela Symantec à Microsoft em setembro de 2018 e corrigida pela gigante de tecnologia no mês passado.

Pesquisadores detectaram hackers da BuckEye usando a combinação de exploração SMB e backdoor DoublePulsar para empresas de telecomunicações, bem como instituições de pesquisa científica e educação em Hong Kong, Luxemburgo, Bélgica, Filipinas e Vietnã de março de 2016 a agosto de 2017.

Como os hackers chineses pegaram as ferramentas de hacking da NSA?


Enquanto a Symantec não sabe como os hackers chineses pegaram as ferramentas do Equation Group antes do vazamento do Shadow Brokers, a empresa de segurança afirma que existe a possibilidade de que a Buckeye tenha capturado o código de um ataque NSA em seus próprios computadores e então tenha feito engenharia reversa. malware para desenvolver sua própria versão das ferramentas.

“Outros cenários menos suportados, dada a evidência técnica disponível, incluem a Buckeye obtendo as ferramentas obtendo acesso a um servidor Equation Group inseguro ou mal protegido, ou que um membro ou um membro desonesto do grupo Equation vazou as ferramentas para a Buckeye”
, diz Symantec.


A Buckeye pareceu cessar suas operações em meados de 2017, e três supostos membros do grupo foram indiciados nos Estados Unidos em novembro de 2017. No entanto, mesmo depois disso, as ferramentas Bemstour e DoublePulsar usadas pela Buckeye continuaram sendo usadas até o final de 2018 em conjunto. com malwares diferentes.

Embora não se saiba quem continuou usando as ferramentas, os pesquisadores acreditam que o grupo Buckeye pode ter passado algumas de suas ferramentas para outro grupo ou “continuar operando mais do que o suposto”.

Depois que o Shadow Brokers vazou, as ferramentas de exploração vinculadas à NSA foram usadas por hackers norte-coreanos  e pela inteligência russa., embora o relatório da Symantec não sugira conexão aparente entre a aquisição de ferramentas da Buckeye e o vazamento do Shadow Brokers.

Que a segurança esteja com você!

Font: thehackernews

Categorias: Noticia

Igor Matsunaga

Diretor Técnico da NSWorld, entusiasta da área hacking, desenvolvedor hacker ético, formado em Segurança da Informação.

3 comentários

China had digital espionage scheme for more than 10 years | Time24 News · abril 10, 2020 às 12:40 am

[…] Source: NS World / ReproductionSource: NS World […]

China teria esquema de espionagem digital há mais de 10 anos - Notícia Oficial · abril 10, 2020 às 1:20 pm

[…] Fonte: NS World/ReproduçãoFonte:  NS World  […]

China teria esquema de espionagem digital há mais de 10 anos – Mak News · abril 10, 2020 às 1:22 pm

[…] Fonte: NS World/ReproduçãoFonte:  NS World  […]

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *