ADPT

Symantec พบกลุ่มแฮ็กเกอร์จีนใช้เครื่องมือแฮ็กจาก NSA ก่อนเผยต่อสาธารณะกว่า 1 ปี

หากเรายังจำกันได้ถึงเหตุการณ์ WannaCry ซึ่งเป็นส่วนหนึ่งของการใช้ช่องโหว่จากเครื่องมือแฮ็กของ NSA ที่ถูกแฉโดยกลุ่ม Shadow Broker ซึ่งวันนี้ทาง Symantec พอจะมีหลักฐานเชื่อมโยงเรื่องราวย้อนหลังไปได้ว่ามีกลุ่มแฮ็กเกอร์จีนที่ชื่อ ‘Buckeye’ ได้ใช้เครื่องมือดังกล่าวก่อนเหตุการณ์เปิดเผยในครั้งนั้นมากว่า 1 ปี

เครดิต : Symantec

ย้อนรอยเรื่องราวคือมีกลุ่มแฮ็กเกอร์กลุ่มหนึ่งที่ชื่อ Equation Group ซึ่งคาดว่าได้รับการสนับสนุนจาก NSA จากนั้นในเดือนสิงหาคมปี 2016 โดนกลุ่มแฮ็กเกอร์ที่ชื่อ Shadow Broker แฮ็กได้พร้อมกับขโมยเครื่องมือไปและปล่อยสู่สาธารณะในปี 2017 และเครื่องมือดังกล่าวยังเป็นส่วนหนึ่งในปฏิบัติการของ Ransomware ชื่อดังอย่าง WannaCry ด้วย

หลายคนอาจคิดว่า Shadow Broker คือกลุ่มแรกของปัญหาเครื่องมือจาก NSA แต่ในวันนี้ทาง Symantec ได้พบหลักฐานที่เชื่อว่ามีแฮ็กเกอร์จากจีนในชื่อ ‘Buckeye’ (มีนามแฝงอีกหลายชื่อคือ APT3, UPS Team, Gothic Panda และ TG-0110) มีการใช้เครื่องมือจาก NSA ก่อนที่ Shadow Broker จะปล่อยออกมาเสียอีก

โดย Symantec พบว่าในปี 2016 ที่ทีม Buckeye โจมตีเหยื่อในฮ่องกงมีการใช้เครื่องมือ DoublePulsar ด้วยทั้งนี้ยังถูกปรับแต่งเพื่อใช้เฉพาะตนด้วยไม่เหมือนกับเวอร์ชันที่ได้จาก ShadowBroker ซึ่งในบล็อกของผู้เชี่ยวชาญกล่าวว่า “เมื่อดูจากลำดับเวลาเหตุการณ์โจมตีและฟีเจอร์ในเครื่องมือแล้ว Buckeye น่าจะดัดแปลงเป็นเวอร์ชันของตนด้วยสิ่งที่พบจากการดักจับข้อมูลในเครือข่ายหรือสังเกตการใช้จากกลุ่ม Equation หรืออาจแฮ็กเซิร์ฟเวอร์ของ Equation ได้เช่นกันหรือข้อสันนิษฐานสุดท้ายคือมีคนใน Equation เกลือเป็นหนอนเสียเอง

ทั้งนี้ Symantec ยังได้พบหลักฐานความเคลื่อนไหวจากมัลแวร์ของ Buckeye ที่ชื่อ Bemstour ซึ่งเป็นเครื่องมือที่กลุ่มแฮ็กเกอร์ชอบในเมื่อเดือนมีนาคมปีนี้เอง โดยมีการใช้ช่องโหว่ CVE-2017-0143 หรือช่องโหว่บน Windows SMB (Microsoft แพตช์แล้วมีนาคม 2017) และ CVE-2019-0703 หรือช่องโหว่ Windows SMB information disclosure ที่ทาง Microsoft เพิ่งแพตช์ไปเมื่อมีนาคมนี้ทั้งที่ได้รับแจ้งตั้งแต่กันยายน 2018 แล้วจาก Symantec ทำให้ Buckeye ได้นำหน้าใช้งานช่องโหว่ไปก่อนแพตช์มาระยะหนึ่งแล้ว

ที่มา :  https://www.securityweek.com/chinese-hackers-used-nsa-tool-year-shadow-brokers-leak และ  https://www.bleepingcomputer.com/news/security/nsa-hacking-tools-used-by-chinese-hackers-one-year-before-leak/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

IBM Webinar: Distributed Cloud Made Real: Build Faster. Securely. Anywhere [23 มิ.ย. 2021 – 10.00น.]

TechTalkThai ขอเรียนเชิญ CTO, CIO, IT Manager, Cloud Engineer, Data Center Engineer, ผู้ดูแลระบบ IT และผู้ที่สนใจทุกท่าน เข้าร่วมชม …

[Guest Post] เอ็นทีที ประกาศความเป็นผู้นำใน IDC MarketScape ด้านการให้บริการความปลอดภัยบนคลาวด์ ปี 2021 ของภูมิภาคเอเชียแปซิฟิก

NTT Ltd., ผู้ให้บริการเทคโนโลยีชั้นนำระดับโลก ได้รับการยอมรับด้านความเป็นผู้นำด้านการให้บริการด้านการรักษาความปลอดภัยบนคลาวด์ ปี 2021 ของภูมิภาคเอเชียแปซิฟิก  Leader in the IDC Marketscape: Asia/Pacific Cloud Security …