quinta-feira, 16 de maio de 2019

Hackers chineses tiveram acesso a ferramentas de espionagem supostamente ligadas à NSA


Uma investigação conduzida pela empresa de cibersegurança Symantec encontrou evidências de que um grupo de espionagem cibernética, conhecido como Buckeye, começou a usar ferramentas de outro sofisticado grupo de ciberespionagem, o Equation, supostamente ligado à NSA, agência de segurança nacional dos Estados Unidos.


O Buckeye estaria ligado ao Ministério de Segurança da China e é também conhecido como APT3 ou Gothic Panda. Já o Equation é reconhecido pelas técnicas avançadas de espionagem e teve suas ferramentas vazadas por outro grupo, o Shadow Brokers. Vale lembrar que o vazamento de tais ferramentas causou um grande impacto no mundo em 2017, quando muitos hackers correram para implantar malware e as brechas divulgadas. Uma das ferramentas, a EternalBlue, foi usada no ataque WannaCry em maio de 2017, que teve efeitos devastadores.

O que a Symantec descobriu, entretanto, foi que o grupo Buckeye teria usado as ferramentas do Equation antes mesmo do vazamento do Shadow Brokers. "Em março de 2016, o Buckeye começou a usar o DoublePulsar, um backdoor que só foi divulgado pelo Shadow Brokers no ano seguinte", diz o relatório da Symantec. O DoublePulsar foi entregue às vítimas por meio de uma ferramenta de exploração customizada que foi feita especificamente para instalar o DoublePulsar.

Já o malware Bemstour explora duas vulnerabilidades do Windows para conseguir acesso remoto ao código de execução do núcleo dos computadores-alvo. Uma delas é a vulnerabilidade dia zero do Windows, que foi descoberta pela Symantec. O segundo achado foi em março de 2017. As vulnerabilidades de dia zero permitem o vazamento de informações e podem ser explorada em conjunto com outras brechas para atingir remotamente o código de execução do núcleo de computadores. A Symantec reportou o problema para a Microsoft em setembro de 2019, e foi corrigido em uma atualização de março deste ano.

O Buckeye está ativo desde 2009, quando começou ataques de espionagem principalmente contra empresas americanas. De acordo com a empresa de cibersegurança, o grupo possui um recorde de uso de vulnerabilidades dia zero. Embora outros ataques dia zero tenham sido reportados, eles não foram confirmados pela Symantec. Todos esses ataques conhecidos, ou suspeitos, são de vulnerabilidades no Internet Explorer e Flash.

Segundo a Symantec, ainda não é certo como o grupo Equation conseguiu as ferramentas um ano antes do vazamento do Shadow Brokers. O Buckeye desapareceu em meados de 2017, e três supostos membros do grupo foram indiciados nos Estados Unidos em novembro do mesmo ano. Entretanto, a exploração por meio do Bemstour e a variante DoublePulsar usado por eles continuaram em operação até setembro do ano passado.

Entretanto, a Symantec lembra que existem muitas possibilidades sobre como o Buckeye teve acesso às ferramentas do grupo Equation antes do vazamento das informações. Baseado no período dos ataques e as características e como as ferramentas foram construídas, uma possibilidade é que o Buckeye criou suas próprias versões com artefatos que encontrou em tráfego de rede. Outras opções seriam acesso por meio de uma porta com pouca segurança em um servidor do Equation ou por um integrante do grupo.

Nenhum comentário:

Postar um comentário