中国间谍组织如何获得了NSA恶意软件?

  • 你制作了一件很可怕的武器,希望只有自己使用它;但是只要这件武器被做出来了,任何人都可以使用它,因为你使用了,该武器就因此被人们所知晓。但是为什么要做这样的武器呢?

据美国网络安全公司赛门铁克称,中国网络间谍组织使用 NSA 的恶意软件已超过一年之久,此前 Shadow Brokers 在网上泄露了同样的漏洞,将其暴露给全世界。

美国当局于2017年底起诉了三名黑客,美国声称这三人是一家名为 Boyusec 的网络安全公司的幕后黑手,该公司是中国国家安全部的前线,并且攻击了 Moody’s Analytics、西门子和 Trimble 等西方公司。

该团体被认为是中国政府支持的 APT(高级持续性威胁)中的先进集合,可以自己定制黑客工具和挖掘零日漏洞。

然而,在一份报告中,赛门铁克表示,它发现有证据表明该组织在相同的恶意软件被广泛使用之前很久就已经在使用NSA开发的恶意软件了

根据赛门铁克发布的图片,Buckeye 组织自2016年3月起开始使用 DoublePulsar 后门版本,超过13个月后,一群被称为 Shadow Brokers 的神秘黑客才于2017年4月在线泄露NSA黑客工具,作为更大规模缓存的一部分。

这家美国安全厂商表示,它没有看到该团队使用其他与NSA相关的恶意软件,例如 FuzzBunch 框架 —— 这是NSA网络操作员用于在受感染主机上部署 DoublePulsar 后门的常用工具。

相反,中国黑客团队使用了自己的工具 Bemstour。

但也有一个转折点。赛门铁克的研究人员表示,Buckeye 使用的 DoublePulsar 版本与 Shadow Brokers 泄露的版本不同,暗示了不同的起源。

“它似乎包含针对较新版 Windows(Windows 8.1 和 Windows Server 2012 R2)的代码,表明它是该恶意软件的新版本,”赛门铁克表示。 “它还包括一层额外的混淆。”

至于中国黑客使用这个版本 DoublePulsar 的方法显示,似乎他们从未真正理解该恶意软件的全部功能。

赛门铁克表示,Buckeye 小组“通常使用[DoublePulsar]来执行创建新用户帐户的 shell 命令”,但没有意识到 DoublePulsar 拥有的更多先进秘密功能,这将使攻击者能够执行更多其他隐藏的操作。

该小组仅在一部分攻击中使用了 DoublePulsar,这表明他们并不那么信任它,相比他们自己的工具。

赛门铁克报告称,这一版本的 DoublePulsar 袭击了比利时、卢森堡、越南、香港、和菲律宾的组织 —— 通常是为了窃取信息。

在其他泄露的 NSA 工具(例如 EternalBlue 漏洞)被用于世界上一些最大的网络攻击之后,例如 WannaCry 和 NotPetya 勒索软件,Buckeye 组织在2017年中期停止使用 DoublePulsar 后门版本。

这可能是因为到那时为止,大多数网络安全供应商都能够检测到 DoublePulsar 感染,并且使用他们的 DoublePulsar 版本效率已经下降。

但最大的谜团仍然是中国黑客团队如何得到 DoublePulsar 后门的?

赛门铁克和绝大多数信息安全界都支持的理论是,Buckeye 团队发现了NSA在中国系统上部署的后门,然后他们拿去用了

这就解释了为什么中国黑客使用的是不同版本的 DoublePulsar,与一年后被 Shadow Appkers 泄露的版本不同,很可能来自另一个来源。

Chinese hackers were using NSA malware a year before Shadow Brokers leak. Hacker group used a unique version of the DoublePulsar backdoor, not the one released by the Shadow Brokers.

发表评论

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据