آزمایشگاه و مرکز تخصصی آپا دانشگاه تبریز

NewApa.Models.ClassList.LsNews
عمومی
1398/02/21

چینی ها خیلی قبل تر از انتشار گروه Shadow Brokers به ابزارهای هکینگ سازمان NSA دسترسی داشته اند

تحقیقات فارنزیک نشان می دهد که چینی ها یک سال قبل تر از آنکه گروه Equation، وابسته به سازمان امنیت ملی آمریکا، ابزارهای هکینگ این ارگان را منشر کند، به آنها دسترسی داشته و از آن استفاده کرده اند.

 

تحقیقات جدید نشان می دهند که ابزارهای هیکینگ توسعه داده شده توسط سازمان امنیت ملی آمریکا، یکسال قبل از آنکه گروه Shadow Brokers آنها را منتشر کند، حداقل توسط یک APT(Advanced Persistent Threat) مورد استفاده قرار گرفته اند

 

بنابه تحقیقات گروهی از محققان در Symantec، یک گروه به نام Buckeye که وابسته به دولت چین می باشد، قادر به استفاده از آسیب پذیری های روز صفرم ویندوز و دیگر ابزار های سازمان NSA بوده و در حمله هایی که از مارچ سال ۲۰۱۶ به وقوع پیوسته بودند، از این ابزارها استفاده کرده است. این حمله ها حتی بعد از ناپید شدن این گروه (سه نفر از اعضای این گروه در آمریکا بازداشت شده بودند)، همچنان ادامه داشته و حتی مدارک نشان دهنده ی این هست که در سال ۲۰۱۸ نیز از آنها استفاده شده است. این محققان اذعان داشته اند که مطمئن نیستند که این گروه، ابزارهای مورد استفاده را در اختیار گروه دیگری قرار داده است و یا بیش تر از آنچه که فکر می شد، این گروه به فعالیت خود ادامه داده است.

 

 در هر صورت، یافته ها نشان از فعالیت های جاسوسی گروه Buckeye، حداقل یکسال قبل از انتشار ابزارهای هکینگ توسط گروه Shadow Brokers بوده است.

 

براساس آنالیز های محققین شرکت Symantec، برخی از ابزارهای جاسوسی NSA، که توسط چینی ها مورد استفاده قرار گرفته، تفاوت هایی با ابزارهایی که گروه Shadow Brokers منتشر کرده بودند داشته است، که نشان از جدا بودن منشا انتشار انها می باشد. براساس زمان حملات و ویژگی های که ابزارها داشته و همچنین نحوه ی بوجود آمدن آنها، یک احتمال این می باشد که گروه Buckeye، ورژن خود از این ابزارها را توسط اطلاعاتی که  از ترافیک های ذخیره شده از شبکه ی گروه Equation، مهندسی و ایجاد کرده اند.

بنابه گفته ی Symantec، شاید گروه Buckeye توانسته سرور گروه Equation را هک کند و یا یکی از اعضای این گروه را به استخدام خود درآورد.

 

همانند آسیب پذیری روز صفرم (CVE-2019-0703) که تا قبل از گزارش Symantec به مایکروسافت در سپتامبر سال گذشته (که بعدا وصله هم شد)، مخفی مانده بود. این آسیب پذیری منجر به نشت اطلاعات می شده است و این امکان وجود داشت که از با بهره گیری از دیگر آسیب پذیری ها مورد استفاده قرار گرفته و به حد اجرای کد در کرنل از راه دور برسد.

گروه Buckeye قبل از Shadow Brokers

 

در اواخر ۲۰۱۶، گروه Brokers اقدام به فروش مجموعه ی عظیمی از ابزارهای جاسوسی در یک مزایده کرد که ادعا می شد مربوط به سازمان امنیت ملی آمریکا می باشد. در آن زمان استقبال چندانی از آنها نشد چرا که این ادعا خیلی واقعی به نظر نمی رسید. بنابراین این گروه چندین نمونه را قبل از اینکه ابزارها را به طور گسترده منتشر کند، در اختیار دیگران گذاشت. این ابزار ها شامل در پشتی DoublePulsar، فریم ورک FuzzBunc، EthernalSynergy، EthernalRomance و همچنین EthernalBlue می شد.

 ابزار آخری بیشتر به خاطر نقشش در باج افزار WannaCry معروف می باشد.

 

محققین Symantec دریافتند که از اوایل مارچ ۲۰۱۶، Buckeye اقدام به استفاده از نوع خاصی از جاسوس افزار DoublePulsar کرده. این گروه، ابزار جاسوسی را از طریق یک اکسپلویت دیگری به اسم Bemstour که مشخصا برای نصب DoublePulsar طراحی شده بود، به قربانیان خود منتقل می کرد. خود Bemstour، توسط یک بدافزار دیگری به اسم Pirpi به قربانیان منتقل می شد.

 

چه بر سر Buckeye آمد؟

 

اینکه واقعا چه بر سر این گروه آمده است ، کمی معما به نظر می رسد.

 

تاریخچه ی Buckeye به سال ۲۰۰۹ بر می گردد. این گروه مشخصا برای جاسوسی از شرکتهای آمریکایی ایجاد شده است. در ماه می سال ۲۰۱۷، اعتقاد بر این بود که این گروه متعلق به چین بوده و با وزارت امنیت چین (معادل سازمان امنیت ملی آمریکا) در ارتباط بوده است.

 

بنابه گفته ی خانم Samantha Dionne، این اولین باور هست که توانسته ایم ارتباط یک عامل تهدید با دولت چین را با اطمینان بالا تشخیص دهیم. در گذشته هرچند این حدس زده می شد، اما مدرک معتبری برای آن نداشتیم، اما الان با اطمینان میتوانیم ارتباط بین این گروه و دولت چین را تایید کنیم.

 

فعالیتی که شامل ابزارهای گروه Buckeye می شد، بعد از آنکه چند تن از اعضای آن دستگیر شدند، در اواسط ۲۰۱۷ متوقف شد.اما ابزارهای اکسپلویت Bemstour و DoublePulsar همچنان با ترکیب شدن با سایر بدافزارها به فعالیت های خود ادامه دادند.

 

 

بنابه گفته ی Symantec، در پشتی Filensfer مشخصا ارتباطی با Buckeye یا گروه دیگری ندارد. و حداقل از سال ۲۰۱۳ در حملات هدف دار مورد استفاده قرار گرفته است.محققان مطمئن نیستند که Buckeye ابزارهای هکینگ را به گروه دیگری تحویل داده و یا ابزارها و تاکتیک های خود را تغییر داده است. این امکان وجود دارد که این گروه مشخصا الگوی عملکر خود را تغییر داده تا از رادارها مخفی مانده و عملیات خود را بهتر انجام دهد.

 

محققان میگویند که توسعه ی Bemstour، تا سال ۲۰۱۹ ادامه داشته است. آخرین نمونه از Bemstour توسط Symantec، رصد شده است، در تاریخ ۲۳ مارچ ۲۰۱۹، حدودا ۱۱ روز بعد از وصله کردن آسیب پذیری روز صفرم توسط مایکروسافت کامپایل شده است.

 

هر چند، جدای از استفاده مداوم از این ابزارهای هکینگ توسط نفوذگرها، Symantec مدرکی پیدا نکرده است که نشان دهنده ی مجهز شدن گروه Buckeye به ابزارهای جدید باشد.


 

نظرات
برای ثبت نظر لطفا وارد شوید
ورود