Китайская хак-группа Buckeye (она же APT3, Gothic Panda, TG-011 и UPS) хорошо известна правоохранителям всего мира. Так, считается, что она активна как минимум с 2009 года, связана с Министерством государственной безопасности КНР и действует через Центр оценки информационных технологий Китая (CNITSEC), а также Центр безопасности ITSEC в Гуандуне. От атак Buckeye ранее страдали такие компании, как Siemens и Trimble.

Теперь компания Symantec обнаружила крайне интересный факт: Buckeye применяла известный бэкдор DoublePulsar еще в марте 2016 года, то есть задолго до того, как он «утек» у американских спецслужб.

Напомню, что инструментарий хакерских инструментов АНБ похитила группировка The Shadow Brokers, и это произошло летом 2016 года. Хакеры объясняли, что ранее эти инструменты принадлежали Equation Group – хакерской группе, которую ИБ-эксперты давно связали с АНБ напрямую. The Shadow Brokers долгое время пытались продать похищенную правительственную малварь, но в итоге не нашли покупателя и весной 2017 года решили опубликовать дамп бесплатно, в открытом доступе.

В числе обнародованных The Shadow Brokers инструментов был и бэкдор DoublePulsar. В настоящее время это решение печально известно благодаря тому, что именно с его помощью (и с помощью эксплоита EternalBlue) распространялись вредоносы WannaCry и NotPetya.

Эксперты Symantec пишут, что за год до утечки бэкдора в открытый доступ Buckeye уже имели его на вооружении, причем это была другая версия, отличная от DoublePulsar, опубликованного в составе дампа The Shadow Brokers.

По мнению исследователей, китайские хакеры использовали бэкдор, не понимая полного потенциала малвари, которая попала в их руки. В частности, они применяли DoublePulsar для исполнения shell-команд и создания новых пользовательских аккаунтов, тогда как бэкдор в первую очередь ценен своей скрытностью и тем, что позволяет осуществлять многие операции без привлечения внимания.

Судя по тому, что Buckeye задействовали DoublePulsar лишь для нескольких операций, они и сами не до конца доверяли этому решению и предпочитали собственный инструментарий. В таблице ниже можно увидеть, для атак на какие страны был использован DoublePulsar и когда именно. Для доставки бэкдора на машины жертв использовалось решение Bemstour, специально созданное для этих целей.

Дата Март 2016 Сентябрь 2016 Апрель 2017 Июнь 2017 Июль 2017 Август 2017
Местоположение цели Гонконг, Бельгия Гонконг Люксембург Филиппины Вьетнам
Инструменты Backdoor.Pirpi Неизвестно Backdoor.Filensfer Неизвестно Неизвестно
Bemstour Exploit Tool (версия 1) Bemstour Exploit Tool (версия 2) Дамп The Shadow Brokers Bemstour Exploit Tool (версия 1) Bemstour Exploit Tool (версии 1 и 2) Bemstour Exploit Tool (версии 1 и 2)
DoublePulsar DoublePulsar (32-бит) или кастомный пейлоад (64-бит) DoublePulsar DoublePulsar (32-бит) или кастомный пейлоад (64-бит) DoublePulsar (32-бит) или кастомный пейлоад (64-бит)

В середине 2017 года группировка и вовсе перестала применять DoublePulsar. Очевидно, это произошло после публикации дампа The Shadow Brokers, когда инструменты АНБ стали достоянием широкой общественности, а защитные решения научились обнаруживать их и противостоять им.

Также в отчете экспертов сказано, что вместе с инструментами Equation Group китайские хакеры использовали и неизвестную ранее уязвимость нулевого дня в Windows, которую эксплуатировал Bemstour: CVE-2019-0703. Об этом баге Microsoft уведомили только в сентябре 2018 года, и он был исправлен совсем недавно — в марте 2019 года.

Но, конечно, самый интересный вопрос в данном случае – это откуда китайские хакеры могли достать инструмент американских спецслужб? Эксперты Symantec и многие их коллеги из других компаний полагают, что представители Buckeye обнаружили бэкдор АНБ в одной из «родных» китайских систем, сумели разобраться с ним, переделали под себя и стали использовать для атак. Это объясняет и различия между DoublePulsar, принадлежавшим Buckeye и опубликованном The Shadow Brokers, — это были разные версии бэкдоров, добытые из совершенно разных источников.

Еще одна, менее вероятная теория гласит, что участники Buckeye могли получить доступ к одному из серверов упомянутой выше Equation Group и похитили DoublePulsar самостоятельно, раньше, чем это сделали The Shadow Brokers.

Группировка Buckeye, по всей видимости, прекратила свою деятельность в 2017 году, когда власти США предъявили обвинения трем ее участникам (или после этого группа как минимум сменила весь инструментарий). При этом различные инструменты группы, включая странную вариацию DoublePulsar, продолжали использовать для атак вплоть до осени 2018 года. Исследователи предполагают, что эти исходные коды могли быть переданы в руки других злоумышленников.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии