Контакты
Подписка 2025
ITSEC 2025
Интеграция безопасности в процессы внутренней разработки. 3-4 июня на Форуме ITSEC 2025 (весна)
Регистрируйтесь и участвуйте!

Китайские кибершпионы использовали инструменты АНБ за год до утечки The Shadow Brokers

07/05/19

hack39-1Группировка Buckeye (также известна как APT3, Gothic Panda, TG-011 и UPS) использовала вредоносные инструменты Агентства национальной безопасности США (АНБ) по меньшей мере за год до того, как группа The Shadow Brokers разместила их в открытом доступе, утверждают исследователи из компании Symantec.

Напомним, в августе 2016 года хакерская группировка The Shadow Brokers начала публиковать инструменты из арсенала АНБ. Часть эксплоитов участники группы разместили в открытом доступе, а остальные предлагали за определенную плату.

В настоящее время неизвестно, каким образом Buckeye удалось получить доступ к инструментам. Согласно отчету Symantec, группировка использовала версию бэкдора DoublePulsar с марта 2016 года – за 12 месяцев до того, как The Shadow Brokers опубликовала содержащий данный инструмент дамп (в апреле 2017 года).

Специалисты не нашли свидетельств, что группировка задействовала в своих атаках другие инструменты АНБ, такие как фреймворк FuzzBunch, обычно используемый для установки бэкдора. Вместо этого Buckeye применяла собственный троян под названием Bemstour, эксплуатирующий две уязвимости в Windows, - CVE-2019-0703 и CVE-2017-0143. Первая представляет собой уязвимость раскрытия информации, которая в сочетании с другими уязвимостями предоставляет возможность удаленного выполнения кода, а вторая – баг в SMB-сервере, позволяющий удаленно выполнить код. CVE-2017-0143 была исправлена в марте 2017 года, а CVE-2019-0703 Microsoft устранила в марте 2019 года.

Специалисты отмечают, что Buckeye применяла версию DoublePulsar, отличающуюся от опубликованной The Shadow Brokers. В частности, она содержала код, предназначенный для атак на более новые версии Windows (Windows 8.1 и Windows Server 2012 R2), также в ней был реализован дополнительный слой обфускации. Как правило, группировка использовала бэкдор для создания новых учетных записей и не задействовала другие возможности DoublePulsar, позволявшие скрытно осуществлять и другую деятельность.

Инструмент использовался только в нескольких атаках, отмечают исследователи, в основном против организаций в Бельгии, Люксембурге, Филиппинах, Вьетнаме и Гонконге. Основной целью атак была кража информации. Группировка прекратила использовать DoublePulsar в середине 2017 года после того, как атаки с применением других эксплоитов АНБ (EternalBlue и прочих) начали привлекать пристальное внимание общественности.

Buckeye была активна по меньшей мере с 2009 года, однако в середине 2017 года прекратила деятельность. Тем не менее, разработка трояна Bemstour продолжалась вплоть до 2019 года – исследователи обнаружили версию вредоноса, скомпилированную 23 марта – спустя 11 дней после того, как Microsoft исправила эксплуатирую им уязвимость. В настоящее время неясно, кто продолжал использовать инструменты Buckeye в 2018-2019 годах. Эксперты не нашли свидетельства, что группировка возобновила деятельность, но, по их мнению, Buckeye могла передать свои инструменты другой киберпреступной группе.

Темы:АНБКитайПреступленияSymantec
КИИ
Защита контейнеров и микросервисной разработки на Форуме ITSEC 2025
Регистрируйтесь и участвуйте 4 июня 2025 →
Статьи по темеСтатьи по теме

  • Обзор китайского рынка NGFW
    Азиатско-Тихоокеанский регион, где доминирует Китай, стал вторым по величине рынком NGFW в мире и уже в 2023 г. генерировал свыше 30% мирового спроса. При этом глобальный рынок по-прежнему возглавляют западные вендоры, тогда как из китайских компаний в топ-5 присутствует только Huawei с долей около 3,5%. Совокупная доля китайских производителей на мировом рынке остается скромной и оценивается в 5–10%.

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Проектирование и защита API на Форуме ITSEC 2025
Посетите 3-4 июня →

Еще темы...

More...