在Shadow Brokers泄密前一年中国黑客使用NSA恶意软件

据美国网络安全公司赛门铁克称，中国网络间谍组织使用NSA恶意软件已超过一年，之后影子经纪人在网上泄露了同样的漏洞，将其暴露给全世界。该团体 - 由Buckeye，APT3，Gothic Panda，TG-011和UPS等名称的网络安全供应商 - 在美国当局于2017年底向三名黑客收取费用之后臭名昭着。美国声称这三人是一家名为Boyusec的网络安全公司的幕后黑手，该公司是中国国家安全部的前线，并且攻击了Moody's Analytics，西门子和Trimble等西方公司。

该集团被认为是中国和政府支持的APT(高级持续性威胁)中的先进集合，可以访问自己的定制工具和零天。

BUCKEYE集团自2016年起使用DOUBLEPULSAR后门

然而，在昨天发布的一份报告中，赛门铁克表示，它发现有证据表明该组织在相同的恶意软件被广泛使用之前很久就已经使用过NSA开发的恶意软件。

根据赛门铁克发布的图片，Buckeye集团自2016年3月起使用了DoublePulsar后门版本，超过13个月前，一群被称为Shadow Brokers的神秘黑客在2017年4月在线泄露，作为更大缓存的一部分NSA黑客工具。

图片：赛门铁克

这家美国安全厂商表示，它没有看到该组使用其他与NSA相关的恶意软件，例如FuzzBunch框架，这是NSA网络操作员用于在受感染主机上部署DoublePulsar后门的常用工具。

相反，中国团队使用了自己的工具Bemstour。

但也有一个转折点。赛门铁克的研究人员表示，Buckeye使用的DoublePulsar版本与Shadow Brokers泄露的版本不同，暗示了不同的起源。

“它似乎包含针对较新版Windows(Windows 8.1和Windows Server 2012 R2)的代码，表明它是恶意软件的新版本，”赛门铁克表示。“它还包括一层额外的混淆。”

GROUP曾在攻击中积极使用NSA恶意软件

至于中国黑客如何使用这个版本的DoublePulsar，似乎他们从未理解恶意软件的全部功能。

赛门铁克表示，Buckeye小组“通常使用[DoublePulsar]来执行创建新用户帐户的shell命令”，但没有意识到DoublePulsar拥有的该工具的先进秘密功能，这将使黑客能够执行更多其他操作。都隐藏了。

该小组仅在一些攻击中使用了DoublePulsar，这表明他们并不信任它以及他们自己的工具。赛门铁克报告称，这一版本的DoublePulsar袭击了比利时，卢森堡，越南，香港和菲律宾的组织 - 通常是为了窃取信息。

图片：赛门铁克

在其他一些世界上最大的网络事件(例如WannaCry和NotPetya)中使用后，Buckeye集团在其他泄露的NSA工具(例如EternalBlue漏洞)获得国际声誉后，于2017年中期停止使用他们的DoublePulsar后门版本。勒索软件爆发

这可能是因为到那时为止，大多数网络安全供应商都能够检测到DoublePulsar感染，并且使用他们的DoublePulsar版本变得效率低下。

中国人是如何获得NSA恶意软件的?

但最大的谜团仍然是中国黑客团队如何得到DoublePulsar后门。

赛门铁克和绝大多数信息安全界都支持的理论是，Buckeye小组发现了NSA在中国系统上部署的后门，并且只是为了攻击而重新定位它。

这解释了中国黑客使用的不同DoublePulsar版本，与一年后被Shadow Appkers泄露的版本相比，很可能来自另一个来源。