Buckeye

Hackergruppe tok i bruk NSA-skadevare ett år før Shadow Brokers lekket dem

Kan tyde på at det har vært flere lekkasjer.

Kinesiske Buckeye skal ha brukt DoublePulsar-verktøyet et år før resten av verden fikk vite om det.
Kinesiske Buckeye skal ha brukt DoublePulsar-verktøyet et år før resten av verden fikk vite om det. (Skjermbilde: Below0Day)
EKSTRA

Kan tyde på at det har vært flere lekkasjer.

Hei, dette er en Ekstra-sak som noen har delt med deg.
Lyst til å lese mer? Få fri tilgang for kun 199,- i måneden.
Bli Ekstra-abonnent »

Allerede i mars 2016 skal den antatt Kina-baserte kyberspionasjegruppen kjent som blant annet Buckeye og APT3, ha begynt å bruke varianter av kybervåpnene som The Shadow Brokers først lekket et drøyt år senere. Våpnene skal ha stammet fra Equation Group, en gruppe som antas å være tilknyttet TAO-enheten (Tailored Access Operations) til USAs National Security Agency (NSA). 

Det er Symantec som omtaler dette i en ny rapport

To tyverier?

Fordi verktøyene som Buckeye skal ha brukt ikke er identiske med dem som ble lekket i 2017, mener Symantec at de ikke stammer fra samme lekkasje. Det kan bety at NSA har blitt frastjålet slike kybervåpen ikke bare én gang, men i alle fall to.

Noe av kritikken mot at etterretningsorganisasjoner utvikler slike verktøy, handler om at de kan komme på avveie, ofte uten at det gis noen mulighet til å beskytte seg mot angrep hvor verktøyene brukes. 

Buckeye skal ha vært aktive i alle fall siden 2009. Fram til 2015 var gruppens aktiviteter primært rettet mot USA, men i de to årene som fulgte virket det som at Hong Kong var blitt det nye hovedmålet. Gruppen ser ut til å ha avsluttet virksomheten i 2017. I november samme år ble tre påståtte medlemmer av gruppen tiltalt i USA for hackerangrep.

Les også: Kinesere anklaget for hackerangrep på multinasjonale virksomheter

Tidslinje over Buckeyes bruk av DoublePulsar og Bemstour.
Tidslinje over Buckeyes bruk av DoublePulsar og Bemstour. Illustrasjon: Symantec

DoublePulsar og Bemstour

Før dette, den 31. mars 2016, skal Buckeye ha brukt en variant av DoublePulsar-bakdøren, som The Shadow Brokers lekket i april 2017. Buckeye brukte en trojaner kalt Bemstour til å levere bakdøren i to angrep som fulgte tett etter hverandre. Det første var mot et mål i Hong Kong, og så, en time senere, ble en utdanningsinstitusjon i Belgia angrepet på samme måte. 

I ettertid har forbedrede varianter av Bemstour blitt brukt i en rekke angrep. Den har underveis utnyttet flere nulldagssårbarheter, inkludert den samme Windows-sårbarheten som NSA-verktøyene EternalRomance og EternalSynergy utnytter. En annen nulldagssårbarhet i Windows som Bemstour utnytter, skal først ha blitt fjernet fra Windows 7 og nyere med sikkerhetsoppdateringene Microsoft kom med i mars i år.

Nylig videreutviklet

Selv om det har vært stille fra Buckeye de siste årene, har Bemstour blitt videreutviklet. Den siste versjonen Symantec har observert, ble kompilert den 23. mars i år, bare 11 dager etter at Microsoft fjernet den nevnte nulldagssårbarheten. Dette kan tyde på at noen har overtatt aktiviteten til Buckeye, eller at gruppen ikke har vært så død som tidligere antatt. 

Symantec vet ikke hvordan Buckeye kan ha fått tak i verktøyene til Equation Group, men har flere teorier. Den ene, og ifølge Symantec mest sannsynlige teorien, er at gruppen rett og slett har observert andre angrep som er gjort med verktøyene og deretter har laget sine egne.  

Andre muligheter er at Buckeye har stjålet dem fra en dårlig sikret server eller fått dem fra en utro tjener hos Equation Group. 

Fordi det ikke har blitt observert at Buckeye har brukt FuzzBunch-rammeverket som The Shadow Brokers lekket i 2017, er det mye som tyder på at gruppen bare har fått tilgang til et begrenset utvalg av verktøyene til Equation Group.

Bakgrunn: Hackergruppe skal ha stjålet kybervåpen fra NSA. Nå er de til salgs

Kommentarer (0)

Kommentarer (0)
Til toppen