Китайские кибершпионы использовали инструменты АНБ за год до утечки The Shadow Brokers
В настоящее время неизвестно, каким образом Buckeye удалось получить доступ к инструментам.
Группировка Buckeye (также известна как APT3, Gothic Panda, TG-011 и UPS) использовала вредоносные инструменты Агентства национальной безопасности США (АНБ) по меньшей мере за год до того, как группа The Shadow Brokers разместила их в открытом доступе, утверждают исследователи из компании Symantec. Напомним, в августе 2016 года хакерская группировка The Shadow Brokers начала публиковать инструменты из арсенала АНБ. Часть эксплоитов участники группы разместили в открытом доступе, а остальные предлагали за определенную плату.
В настоящее время неизвестно, каким образом Buckeye удалось получить доступ к инструментам. Согласно отчету Symantec, группировка использовала версию бэкдора DoublePulsar с марта 2016 года – за 12 месяцев до того, как The Shadow Brokers опубликовала содержащий данный инструмент дамп (в апреле 2017 года).
Специалисты не нашли свидетельств, что группировка задействовала в своих атаках другие инструменты АНБ, такие как фреймворк FuzzBunch, обычно используемый для установки бэкдора. Вместо этого Buckeye применяла собственный троян под названием Bemstour, эксплуатирующий две уязвимости в Windows, — CVE-2019-0703 и CVE-2017-0143. Первая представляет собой уязвимость раскрытия информации, которая в сочетании с другими уязвимостями предоставляет возможность удаленного выполнения кода, а вторая – баг в SMB-сервере, позволяющий удаленно выполнить код. CVE-2017-0143 была исправлена в марте 2017 года, а CVE-2019-0703 Microsoft устранила в марте 2019 года.
Специалисты отмечают, что Buckeye применяла версию DoublePulsar, отличающуюся от опубликованной The Shadow Brokers. В частности, она содержала код, предназначенный для атак на более новые версии Windows (Windows 8.1 и Windows Server 2012 R2), также в ней был реализован дополнительный слой обфускации. Как правило, группировка использовала бэкдор для создания новых учетных записей и не задействовала другие возможности DoublePulsar, позволявшие скрытно осуществлять и другую деятельность.
Инструмент использовался только в нескольких атаках, отмечают исследователи, в основном против организаций в Бельгии, Люксембурге, Филиппинах, Вьетнаме и Гонконге. Основной целью атак была кража информации. Группировка прекратила использовать DoublePulsar в середине 2017 года после того, как атаки с применением других эксплоитов АНБ (EternalBlue и прочих) начали привлекать пристальное внимание общественности.
Buckeye была активна по меньшей мере с 2009 года, однако в середине 2017 года прекратила деятельность. Тем не менее, разработка трояна Bemstour продолжалась вплоть до 2019 года – исследователи обнаружили версию вредоноса, скомпилированную 23 марта – спустя 11 дней после того, как Microsoft исправила эксплуатирую им уязвимость. В настоящее время неясно, кто продолжал использовать инструменты Buckeye в 2018-2019 годах. Эксперты не нашли свидетельства, что группировка возобновила деятельность, но, по их мнению, Buckeye могла передать свои инструменты другой киберпреступной группе.
