Xitoylik kiberjosuslar The Shadow Brokers ma’lumotlari oshkor bo’lishidan bir yil oldin NSA vositalaridan foydalanganlar
Buckeye asboblarga qanday qilib kirish huquqini qo’lga kiritgani hozircha noma’lum.
Symantec tadqiqotchilarining fikriga ko’ra, Buckeye guruhi (shuningdek, APT3, Gothic Panda, TG-011 va UPS nomi bilan ham tanilgan) NSA zararli dasturidan The Shadow Brokers uni ommaga taqdim etishidan kamida bir yil oldin foydalangan. 2016-yil avgust oyida The Shadow Brokers NSA vositalarini nashr eta boshladi. Guruh ba’zi ekspluatatsiyalarni ommaga taqdim etdi, boshqalari esa pullik taklif qilindi.
Buckeye qanday qilib vositalarga kirish huquqini qo’lga kiritgani hozircha noma’lum. Symantec hisobotiga ko’ra, guruh 2016-yil mart oyidan beri DoublePulsar orqa eshik versiyasidan foydalanib kelgan — The Shadow Brokers 2017-yil aprel oyida ushbu vositani o’z ichiga olgan dumpni nashr etishidan 12 oy oldin.
Mutaxassislar guruh oʻz hujumlarida boshqa NSA vositalaridan, masalan, odatda orqa eshiklarni oʻrnatish uchun ishlatiladigan FuzzBunch frameworkidan foydalanganiga oid hech qanday dalil topmadilar. Buning oʻrniga, Buckeye oʻzining Bemstour deb nomlangan troyan dasturidan foydalandi, u Windowsning ikkita zaifligidan foydalangan: CVE-2019-0703 va CVE-2017-0143. Birinchisi, boshqa zaifliklar bilan birlashganda, masofadan turib kodni bajarishga imkon beradigan maʼlumotlarni oshkor qilish zaifligi, ikkinchisi esa masofadan turib kodni bajarishga imkon beradigan SMB serveridagi xatodir. CVE-2017-0143 2017-yil mart oyida yamalgan va Microsoft 2019-yil mart oyida CVE-2019-0703 ni yamagan.
Mutaxassislarning ta’kidlashicha, Buckeye The Shadow Brokers tomonidan nashr etilganidan farqli o’laroq DoublePulsar versiyasidan foydalangan. Xususan, unda Windowsning yangi versiyalariga (Windows 8.1 va Windows Server 2012 R2) hujum qilish uchun mo’ljallangan kod mavjud edi va qo’shimcha chalkashlik qatlamini joriy qildi. Guruh odatda yangi akkauntlar yaratish uchun orqa eshikdan foydalangan va DoublePulsarning boshqa maxfiy faoliyatlarga imkon beradigan boshqa imkoniyatlaridan foydalanmagan.
Tadqiqotchilarning ta’kidlashicha, ushbu vosita asosan Belgiya, Lyuksemburg, Filippin, Vetnam va Gonkongdagi tashkilotlarga qarshi bir nechta hujumlarda qo’llanilgan. Hujumlarning asosiy maqsadi ma’lumot o’g’irlash edi. Guruh 2017-yil o’rtalarida boshqa NSA ekspluatatsiyalari (EternalBlue va boshqalar) yordamida hujumlar jamoatchilik e’tiborini torta boshlaganidan so’ng, DoublePulsardan foydalanishni to’xtatdi.
Buckeye kamida 2009-yildan beri faol bo’lgan, ammo 2017-yil o’rtalarida faoliyatini to’xtatgan. Biroq, Bemstour troyanining rivojlanishi 2019-yilgacha davom etdi — tadqiqotchilar zararli dasturning kompilyatsiya qilingan versiyasini 23-mart kuni, Microsoft u foydalangan zaiflikni tuzatganidan 11 kun o’tgach aniqladilar. Hozirda 2018-2019-yillarda Buckeye vositalaridan kim foydalanishda davom etgani noma’lum. Mutaxassislar guruh faoliyatini qayta boshlaganiga oid hech qanday dalil topa olishmadi, ammo ular Buckeye o’z vositalarini boshqa kiberjinoyatchilar guruhiga o’tkazgan bo’lishi mumkin deb hisoblashadi.
