圖片來源:賽門鐵克(https://www.symantec.com/blogs/threat-intelligence/buckeye-windows-zero-day-exploit)

在2016年8月時,一個自稱為「影子掮客」(The Shadow Brokers)的駭客組織,在網路上拍賣美國國安局(NSA)下轄網路攻擊組織「方程式」(Equation Group)所開發的攻擊工具,在當時掀起了軒然大波,然而,資安業者賽門鐵克(Symantec)最近發現了新證據,指出網路間諜集團Buckeye早在2016年3月,就開始利用相關的攻擊程式

從時間點來看,影子掮客是在2017年4月釋出包括DoublePulsar、FuzzBunch、EternalBlue及EternalSynergy等攻擊工具,隔月北韓駭客即利用DoublePulsar與EternalBlue來散布造成重大災情的WannaCry勒索軟體,但Buckeye早在2016年3月就以DoublePulsar發動攻擊了。

迄今影子掮客的身分依然不明,外界揣測它來自俄羅斯,而所持有的攻擊工具則是向國安局的約聘人員所收購;至於Buckeye也被稱作APT3或Gothic Panda,是來自中國的網路間諜團隊,自2009年開始活動,一直到2017年中被美國破獲。

研究人員指出,2016年3月時,Buckeye便替後門程式DoublePulsar設計了專用的攻擊工具Bemstour,開採兩個微軟零時差漏洞CVE-2017-0143與CVE-2019-0703,並用它來攻擊香港及比利時,前者在2017年3月修補,後者則是一直到今年才修補。

賽門鐵克並不確定Buckeye取得DoublePulsar的管道,但有鑑於Buckeye並未使用其它由影子掮客外洩的攻擊程式,讓研究人員猜測Buckeye很可能是發現了NSA在中國系統上所植入的DoublePulsar,秉持著「草船借箭」的精神重製了DoublePulsar,而比較不像是偷來或買來的。


Advertisement

更多 iThome相關內容