在Shadow Brokers泄漏之前的14个月 野外使用了被盗的NSA黑客工具
关于计算机安全中最重要的事件发生在2017年4月,当时一个自称身份不明的组织称自己为影子经纪人,他们发布了国家安全局最令人垂涎的黑客工具。WannaCry和NotPetya蠕虫的漏洞以及随后重新利用的漏洞使全球的计算机关闭,这使得这次盗窃成为美国国家安全局有史以来最大的操作失误之一。
周一,安全公司赛门铁克报告说,在暗影经纪人泄密前14个月,从2016年3月开始,其中两个先进的黑客工具被用于对抗大量目标。赛门铁克自2010年以来一直在跟踪的高级持续威胁黑客攻击组以某种方式访问了NSA开发的DoublePulsar后门的变种,以及NSA用于在目标计算机上远程安装它的Windows漏洞之一。
杀死NOBUS
强大的国家安全局工具比以前认为的更早改变的启示肯定会触发对该机构无法获得其武器库的新一轮批评。
“这肯定会引起对保护他们工具的能力的额外批评,”现任联合创始人联合创始人的前NSA黑客杰克威廉姆斯告诉Ars。“如果他们没有从直接妥协中丢失这些工具,那么这些漏洞就会在传输过程中被截获,或者被独立发现。所有这一切都完全杀死了NOBUS的论点。“
除了我们之外,“NOBUS”是除了我们之外的简写,NSA官员用来证明他们私下储存某些漏洞利用的做法,而不是报告潜在的漏洞,以便修复它们。
赛门铁克的研究人员表示,他们不知道这个黑客组织如何被称为Buckeye,APT3,Gothic Panda,UPS Team和TG-0110获得了这些工具。研究人员表示,使用的工具数量有限表明,黑客的访问权限并不像影子经纪人所享有的那样广泛。研究人员推测,黑客可能拥有逆向工程技术“人工制品”,这些技术是从国家安全局对其自身目标进行的攻击中捕获的。赛门铁克表示,其他不太可能的可能性是Buckeye从一个不安全或安全性较差的NSA服务器或一个流氓NSA集团成员或同事泄露这些工具到Buckeye。
用于安装Buckeye的DoublePulsar变种的攻击利用了一个索引为CVE-2017-0143的Windows漏洞。这是在Shadow Broker泄露的NSA工具中利用的几个Windows漏洞之一,其名称包括Eternal Romance和Eternal Synergy。微软于2017年3月向美国国家安全局官员透露该漏洞可能即将发布后,微软修补了该漏洞。
赛门铁克的报告意味着,当美国国家安全局报告微软的漏洞时,他们已经在野外被利用了好几个月。
“另一组(除了NSA)能够成功地成功利用永恒系列漏洞的事实令人印象深刻,”威廉姆斯说。“这说明了他们的技术能力和资源。即使他们在网络上使用时窃取了漏洞,但这还不足以在没有大量额外研究的情况下重建可靠的漏洞。“
两个漏洞的故事
现代版Windows中内置的安全保护需要利用两个独立的漏洞来成功安装DoublePulsar。美国国家安全局和Buckeye都利用CVE-2017-0143来破坏Windows内存。从那里,攻击者需要利用一个单独的漏洞来泄露目标计算机的内存布局。Buckeye依赖于与NSA使用的永恒攻击不同的信息披露漏洞。Buckeye使用的漏洞CVE-2019-0703在赛门铁克私下向微软报告六个月后的三月份收到了补丁。
赛门铁克表示,最早的已知使用NSA变种的Buckeye实例于2016年3月31日发生在对香港目标的袭击中。它出现在一个名为Bemstour的定制设计木马中,安装了DoublePulsar,它只在内存中运行。从那里,DoublePulsar安装了一个辅助有效负载,使攻击者可以持续访问计算机,即使它已重新启动并且DoublePulsar不再运行。在香港袭击一小时后,Buckeye使用Bemstour对抗比利时的一所教育机构。
六个月后 - 2016年9月的某个时候 - Buckeye在香港的一所教育机构中发布了一个显着改进的Bemstour变种。一个改进:与仅在32位硬件上运行的原始Bemstour不同,更新版本也在64位系统上运行。更新的Bestour的另一个进步是它能够在受感染的计算机上执行任意shell命令。这允许恶意软件在64位受感染的计算机上提供自定义有效负载。攻击者通常使用该功能来创建新的用户帐户。
Bemstour于2017年6月再次用于对抗卢森堡的目标。从那年的6月到9月,Bemstour感染了菲律宾和越南的目标。该木马的开发一直持续到今年,最新的样本编制日期为3月23日,也就是微软修补CVE-2019-0703后的11天。
赛门铁克的研究人员惊讶地看到Bemstour长期积极使用。此前,研究人员认为APT3在2017年11月起诉三名中国公民的黑客指控后解散。虽然起诉书没有确定被告据称为其工作的群体,但检察官认定的一些工具涉及APT3。
星期一的报告称,在Buckeye明显消失之后Bemstour的使用仍然是一个谜。
公司研究人员写道:“这可能表明,Buckeye在2017年曝光后重新调整,放弃了与该集团公开关联的所有工具。”“然而,除了继续使用这些工具之外,赛门铁克还没有发现任何其他证据表明Buckeye已经重组。另一种可能性是Buckeye将其部分工具传递给相关团体。“
标签: 黑客工具