Угрупування BUCKEYE вкрали експлойт АНБ до SHADOW BROKERS

12:31
Угрупування BUCKEYE вкрали експлойт АНБ до SHADOW BROKERS

     ІБ-експерти виявили APT-угрупування, яке застосовувало уразливості Equation Group за рік до їх оприлюднення в квітні 2017-го. У своїх кампаніях злочинці з Китаю використовували комплекс з двох 0-day, щоб встановити контроль над комп'ютерами користувачів і вкрасти персональні дані.

    За словами дослідників, за цими інцидентами стоїть угрупування Buckeye, також відоме як Gothic Panda, TG-0110, UPS і APT3. Перші атаки зловмисників засікли ще в 2010 році. За ними послідувало тривале розслідування, яке завершилося в листопаді 2017 го арештами трьох учасників угруповання. Їм пред'явили звинувачення в зломі комп'ютерних систем Moody's Analytics, Siemens і Trimble. З того моменту Buckeye призупинила активність, але експерти все ще вивчають її минулі кампанії.
   Так, фахівці визначили, що злочинці мали доступ до матеріалів Equation Group за місяці до їх потрапляння у відкритий доступ.
Зокрема, CVE-2017-0143 з експлойтів EternalRomance і EternalSynergy зустрічається в кампаніях Buckeye, починаючи з березня 2016- го.        Зловмистники використовували її в засобі завантаження Bemstour разом з лише недавно виявленою CVE-2019-0703. в якості корисного навантаження в цих кампаніях виступав бекдор DoublePulsar, також з колекції Equation Group. Після зливу Shadow Brokers він за кілька тижнів вразив десятки тисяч комп'ютерів по всьому світу.
    Учасники Buckeye активно розвивали Bemstour: з вересня 2016 року завантажувач вміє працювати з shell-командами, копіювати призначені для користувача файли і створювати на комп'ютері нові облікові записи. Розширені можливості дозволяли злочинцям залишатися в системі після видалення DoublePulsar.
    Хоча угруповання пішло з радарів в 2017 році, доробка коду триває досі — останню версію Bemstour опублікували в березні, через 11 днів після виходу патча до CVE-2019-0703. Фахівці в рівній мірі допускають, що новітні кампанії може вести як сама Buckeye, так і інше угруповання, яке якимось чином отримала код шкідника.
    Відкритим залишається і питання, як матеріали Equation Group потрапили до зловмисників. За словами експертів, шкідливе ПЗ в кампаніях Buckeye дещо відрізняється від примірників Shadow Brokers. Наприклад, у перших в коді є додатковий шар обфускаціі, а фреймворк для панелі адміністратора відсутній. Це дозволяє припустити, що злочинці з Buckeye отримали лише частину матеріалів — можливо, відновили ПЗ з артефактів в перехопленому трафіку мережі. Інші, менш вірогідні версії включають злом незахищеного сховища і отримання шкідників від колишнього учасника Equation Group.

Комментарии 0

Предпросмотр
Завантаження...
Будьте первым, кто оставит комментарий.