Breaking News

Symantec พบกลุ่มแฮ็กเกอร์จีนใช้เครื่องมือแฮ็กจาก NSA ก่อนเผยต่อสาธารณะกว่า 1 ปี

หากเรายังจำกันได้ถึงเหตุการณ์ WannaCry ซึ่งเป็นส่วนหนึ่งของการใช้ช่องโหว่จากเครื่องมือแฮ็กของ NSA ที่ถูกแฉโดยกลุ่ม Shadow Broker ซึ่งวันนี้ทาง Symantec พอจะมีหลักฐานเชื่อมโยงเรื่องราวย้อนหลังไปได้ว่ามีกลุ่มแฮ็กเกอร์จีนที่ชื่อ ‘Buckeye’ ได้ใช้เครื่องมือดังกล่าวก่อนเหตุการณ์เปิดเผยในครั้งนั้นมากว่า 1 ปี

เครดิต : Symantec

ย้อนรอยเรื่องราวคือมีกลุ่มแฮ็กเกอร์กลุ่มหนึ่งที่ชื่อ Equation Group ซึ่งคาดว่าได้รับการสนับสนุนจาก NSA จากนั้นในเดือนสิงหาคมปี 2016 โดนกลุ่มแฮ็กเกอร์ที่ชื่อ Shadow Broker แฮ็กได้พร้อมกับขโมยเครื่องมือไปและปล่อยสู่สาธารณะในปี 2017 และเครื่องมือดังกล่าวยังเป็นส่วนหนึ่งในปฏิบัติการของ Ransomware ชื่อดังอย่าง WannaCry ด้วย

หลายคนอาจคิดว่า Shadow Broker คือกลุ่มแรกของปัญหาเครื่องมือจาก NSA แต่ในวันนี้ทาง Symantec ได้พบหลักฐานที่เชื่อว่ามีแฮ็กเกอร์จากจีนในชื่อ ‘Buckeye’ (มีนามแฝงอีกหลายชื่อคือ APT3, UPS Team, Gothic Panda และ TG-0110) มีการใช้เครื่องมือจาก NSA ก่อนที่ Shadow Broker จะปล่อยออกมาเสียอีก

โดย Symantec พบว่าในปี 2016 ที่ทีม Buckeye โจมตีเหยื่อในฮ่องกงมีการใช้เครื่องมือ DoublePulsar ด้วยทั้งนี้ยังถูกปรับแต่งเพื่อใช้เฉพาะตนด้วยไม่เหมือนกับเวอร์ชันที่ได้จาก ShadowBroker ซึ่งในบล็อกของผู้เชี่ยวชาญกล่าวว่า “เมื่อดูจากลำดับเวลาเหตุการณ์โจมตีและฟีเจอร์ในเครื่องมือแล้ว Buckeye น่าจะดัดแปลงเป็นเวอร์ชันของตนด้วยสิ่งที่พบจากการดักจับข้อมูลในเครือข่ายหรือสังเกตการใช้จากกลุ่ม Equation หรืออาจแฮ็กเซิร์ฟเวอร์ของ Equation ได้เช่นกันหรือข้อสันนิษฐานสุดท้ายคือมีคนใน Equation เกลือเป็นหนอนเสียเอง

ทั้งนี้ Symantec ยังได้พบหลักฐานความเคลื่อนไหวจากมัลแวร์ของ Buckeye ที่ชื่อ Bemstour ซึ่งเป็นเครื่องมือที่กลุ่มแฮ็กเกอร์ชอบในเมื่อเดือนมีนาคมปีนี้เอง โดยมีการใช้ช่องโหว่ CVE-2017-0143 หรือช่องโหว่บน Windows SMB (Microsoft แพตช์แล้วมีนาคม 2017) และ CVE-2019-0703 หรือช่องโหว่ Windows SMB information disclosure ที่ทาง Microsoft เพิ่งแพตช์ไปเมื่อมีนาคมนี้ทั้งที่ได้รับแจ้งตั้งแต่กันยายน 2018 แล้วจาก Symantec ทำให้ Buckeye ได้นำหน้าใช้งานช่องโหว่ไปก่อนแพตช์มาระยะหนึ่งแล้ว

ที่มา :  https://www.securityweek.com/chinese-hackers-used-nsa-tool-year-shadow-brokers-leak และ  https://www.bleepingcomputer.com/news/security/nsa-hacking-tools-used-by-chinese-hackers-one-year-before-leak/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

[Guest Post] โปรโมชั่นสุดคุ้ม Veritas Backup Exec (VBE) “Abstraction Promotion”

Veritas จัดโปรโมชั่นพิเศษสุดๆเพื่อลดภาระในการจัดการข้อมูลที่ซับซ้อนด้วยแนวทางใหม่ของเวอร์ริทัส พร้อมกับต้อนรับเทศกาล Year End Sale ส่งท้าย ปี 2019 สำหรับลูกค้าทุกท่าน

HP ปฏิเสธข้อเสนอการเข้าซื้อกิจการของ Xerox ระบุ Xerox ประเมินมูลค่า HP ต่ำไปมาก

หลังจากที่มีข่าวลือถึงการที่ Xerox พยายามเสนอเข้าซื้อกิจการของ HP นั้น ล่าสุด HP ได้ออกมาประกาศปฏิเสธข้อเสนอดังกล่าวแล้วอย่างเป็นทางการ เนื่องจากมูลค่าการเข้าซื้อกิจการที่เสนอมานั้นต่ำเกินไป แต่ในอนาคตก็ยังคงสามารถพูดคุยหรือร่วมงานกับ Xerox ต่อไปได้