photo by Jeroen Bosch on unsplash (https://unsplash.com/photos/52l3x9yqn0k)

資安業者Check Point近日的研究顯示,中國的駭客集團Buckeye(又名APT3或UPS團隊)很可能故意設計了陷阱,以誘導美國國安局(NSA)旗下的網路攻擊組織「方程式」(Equation Group)展開攻擊,再藉由監控Equation攻擊程式的流量,打造屬於自己的攻擊程式。

Equation一直是個未經美國正面證實的網路攻擊組織,卡巴斯基實驗室在2015年揭露了該組織的存在,並認為它與NSA有關,另一駭客團體影子掮客(The Shadow Brokers)則在2016年8月宣稱駭進Equation,取得了大批的網路攻擊工具,並陸續將它們公諸於世。

然而,賽門鐵克在今年發現,中國駭客集團Buckeye早在2016年的3月就以Equation所開發的DoublePulsar工具對外發動攻擊了,比影子掮客公布相關工具的時間還早,推測Buckeye可能是發現了NSA在中國系統上所植入的DoublePulsar,而重製了該程式。

Check Point的研究即是以賽門鐵克的發現為基礎,進一步指出Buckeye所使用的攻擊程式Bemstour是整合了Equation所打造的EternalRomance與EternalSynergy攻擊程式,也發現Bemstour開發者企圖藉由所紀錄的流量,來重建攻擊程式的痕跡。

研究人員推測,假設Buckeye團隊真的以網路流量作為開發攻擊程式的參考,這些流量應是來自於由Buckeye所掌控的機器,因此,若非被Equation鎖定的機器已經被Buckeye所監控,就是Buckeye在Equation之前就先入侵了該機器,而他們相信應該是前者,才讓Buckeye得以密切觀察受害網路的被駭活動。

Check Point表示,其實駭客如何創造或取得攻擊程式並不總是很明朗,通常是自己研發或是自第三方取得,但此一研究卻帶來了第三種可能性:競爭對手的工具被用來作為Buckeye打造攻擊程式的基礎與靈感。

Check Point在部落格的文章上寫得含蓄,但其研究人員卻向Forbes透露,中國想要擁有與美國同樣的能力,藉由攻擊程式滲透敵方機器,但他們並非透過投資,而是選擇用剽竊的,相信中國駭客是特意設下陷阱來捕獲美國攻擊程式,並非碰巧發現的。


Advertisement

更多 iThome相關內容