Los piratas informáticos chinos utilizaron las herramientas de piratería de la NSA antes de que los corredores en la sombra las filtraran

Buckeye china nsa herramientas de piratería

En una revelación impactante, resulta que un grupo de piratería que se cree que está patrocinado por la inteligencia china había estado usando algunas de las vulnerabilidades de día cero vinculadas al Equation Group de la NSA casi un año antes de que el misterioso grupo Shadow Brokers las filtrara.

Según un nuevo informe publicado por la firma de ciberseguridad Symantec, un grupo vinculado a China, al que llama castaño de indiasestaba usando las herramientas de piratería vinculadas a la NSA desde marzo de 2016, mientras que Shadow Brokers arrojó algunas de las herramientas en Internet en abril de 2017.

Activo desde al menos 2009, Buckeye, también conocido como APT3, Gothic Panda, UPS Team y TG-0110, es responsable de una gran cantidad de ataques de espionaje, principalmente contra organizaciones críticas y de defensa en los Estados Unidos.

Aunque Symantec no nombró explícitamente a China en su informe, los investigadores con un alto grado de confianza han atribuido anteriormente [1,2] El grupo de piratería Buckeye a una empresa de seguridad de la información, llamada Boyusec, que trabaja en nombre del Ministerio de Seguridad del Estado de China.

El último descubrimiento de Symantec proporciona la primera evidencia de que los piratas informáticos patrocinados por el estado chino lograron adquirir algunas de las herramientas de piratería, incluidas EternalRomance, EternalSynergy y DoublePulsar, un año antes de ser abandonados por Shadow Brokers, un grupo misterioso que aún no ha sido identificado.

Según los investigadores, el grupo Buckeye usó su herramienta de explotación personalizada, denominada Bemstourpara entregar una variante del implante de puerta trasera DoublePulsar para recopilar información de manera sigilosa y ejecutar código malicioso en las computadoras objetivo.

La herramienta Benstour fue diseñada para explotar dos vulnerabilidades de día cero (CVE-2019-0703 y CVE-2017-0143) en Windows para lograr la ejecución remota del código del kernel en las computadoras específicas.

Buckeye nsa herramientas de piratería

Microsoft abordó la vulnerabilidad CVE-2017-0143 en marzo de 2017 después de que se descubriera que había sido utilizada por dos exploits de la NSA (EternalRomance y EternalSynergy) que fueron filtrados por el grupo Shadow Brokers.

Symantec descubrió e informó a Microsoft en septiembre de 2018 sobre la falla previamente desconocida del servidor SMB de Windows (CVE-2019-0703) y el gigante tecnológico la reparó el mes pasado.

Los investigadores detectaron a los piratas informáticos de BuckEye utilizando la combinación del exploit SMB y la puerta trasera DoublePulsar para apuntar a empresas de telecomunicaciones, así como a instituciones educativas y de investigación científica en Hong Kong, Luxemburgo, Bélgica, Filipinas y Vietnam desde marzo de 2016 hasta agosto de 2017.

¿Cómo los piratas informáticos chinos tomaron las herramientas de piratería de la NSA?

Si bien Symantec no sabe cómo los piratas informáticos chinos obtuvieron las herramientas de Equation Group antes de la filtración de Shadow Brokers, la firma de seguridad afirma que existe la posibilidad de que Buckeye haya capturado el código de un ataque de la NSA en sus propias computadoras y luego haya realizado ingeniería inversa. malware para desarrollar su propia versión de las herramientas.

«Otros escenarios menos respaldados, dada la evidencia técnica disponible, incluyen que Buckeye obtenga las herramientas al obtener acceso a un servidor de Equation Group no seguro o con poca seguridad, o que un miembro o asociado deshonesto del grupo Equation filtre las herramientas a Buckeye», dice Symantec.

Buckeye pareció cesar sus operaciones a mediados de 2017, y tres presuntos miembros del grupo fueron acusados ​​en los Estados Unidos en noviembre de 2017. Sin embargo, incluso después de eso, las herramientas Bemstour y DoublePulsar utilizadas por Buckeye continuaron usándose hasta fines de 2018 en conjunto. con diferentes programas maliciosos.

Aunque se desconoce quién siguió usando las herramientas, los investigadores creen que el grupo Buckeye pudo haber pasado algunas de sus herramientas a otro grupo o «continuado operando más tiempo del supuesto».

Después de la filtración de Shadow Brokers, los piratas informáticos de Corea del Norte y la inteligencia rusa utilizaron las herramientas de explotación vinculadas a la NSA, aunque el informe de Symantec sugiere que no hay una conexión aparente entre la adquisición de herramientas de Buckeye y la filtración de Shadow Brokers.

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática