Herramientas de hackeo de la NSA fueron utilizadas por hackers chinos un año antes de ser filtradas

0
1421
views

Un grupo de hackers chinos estaba usando herramientas de piratería desarrolladas por la NSA más de un año antes de que Shadow Brokers las filtrara en abril de 2017, herramientas que luego se usaron en ataques altamente destructivos como la campaña de ransomware WannaCry de mayo de 2017.

El grupo de amenazas Buckeye (también conocido por investigadores como Gothic Panda, TG-0110, UPS y APT3) ha estado activo desde al menos el 2010, y cuenta con expertos por la operación Clandestine Fox, Operación Clandestine Wolf y Operación Doble toque y principalmente para atacar a entidades de EE. UU. Con un cambio repentino a objetivos de Hong Kong en 2015 

La acusación de tres miembros de APT3 por parte del gobierno de EE. UU. En noviembre de 2017 es lo que realmente destacó al grupo, ya que los tres piratas informáticos chinos fueron acusados ​​de infiltrarse en los sistemas informáticos de Moody’s Analytics, Siemens y Trimble entre 2011 y mayo de 2017.

Como lo descubrió Symantec, Buckeye, respaldado por los chinos, estaba usando las herramientas de hacking de la NSA 13 meses antes de que Shadow Brokers, el grupo de piratería que las robó, lo hiciera en abril de 2017, junto con una “vulnerabilidad de Windows día cero desconocida anteriormente, que Symantec descubrió. (que desde entonces ha sido parcheado por Microsoft) “.

A partir de marzo de 2016, se detectó la puerta trasera DoublePulsar de la NSA como parte de las campañas de Buckeye, mientras que se eliminó con la ayuda del troyano Bemstour, un eliminador de malware creado específicamente por el grupo para entregar la carga útil de malware de la NSA.

Symantec descubrió que la variante utilizada por Buckeye durante sus ataques era más nueva que la filtrada por Shadow Brokers, con una capa adicional de ofuscación que podría indicar que los hackers chinos la personalizaron antes del despliegue en los sistemas de sus víctimas.

No sería la primera vez que DoublePulsar se modificara para otros fines, dado que se modificó en junio de 2018 para dirigirse a máquinas que ejecutan el sistema operativo Windows IoT (anteriormente conocido como Windows Embedded).

DoublePulsar demostró ser una herramienta altamente efectiva como se muestra una semana después de que se filtró cuando los investigadores de seguridad encontraron más de 36,000 computadoras infectadas en todo el mundo basadas en las respuestas de conexión de SMB.

Además, el hecho de que el grupo de amenazas nunca empleó el framework FuzzBunch diseñado para ofrecer una plataforma de administración fácil para todas las herramientas de hacking de la NSA hace que los piratas informáticos chinos no obtengan acceso a todo el caché malicioso filtrado por los Shadow Brokers.

Symantec teoriza sobre la base de la evidencia recopilada y las conjeturas fundamentadas (como sucede casi siempre cuando se trata de analizar grupos de amenazas respaldados por el estado) de que los piratas informáticos chinos podrían haber creado su “versión propia de las herramientas a partir de artefactos encontrados en el tráfico de red capturado, posiblemente desde observando Equation Group”.
También quedan muchas preguntas después de los hallazgos de Symantec, desde el método a través del cual Buckeye puso sus manos en el conjunto de herramientas de la NSA hasta la razón detrás del uso prolongado de la puerta trasera DoublePulsar, incluso después de que el grupo dejó de operar en algún momento a mediados de 2017.

Otras teorías menos probables postulan que el grupo de piratería obtuvo “las herramientas al obtener acceso a un servidor de Equation Group no asegurado o con poca seguridad, o que un miembro del grupo de Equation Group no autorizado o asociado filtró las herramientas a Buckeye”.

 

Fuente

Toda la información proporcionada en este medio es para fines educativos, en ningún caso alguno se hace responsable e cualquier mal uso de la información. Toda la información es para el desarrollo e investigación de métodos de seguridad informática.

No olvides visitar nuestra hacking shop

shop