Breaking News

Symantec พบกลุ่มแฮ็กเกอร์จีนใช้เครื่องมือแฮ็กจาก NSA ก่อนเผยต่อสาธารณะกว่า 1 ปี

หากเรายังจำกันได้ถึงเหตุการณ์ WannaCry ซึ่งเป็นส่วนหนึ่งของการใช้ช่องโหว่จากเครื่องมือแฮ็กของ NSA ที่ถูกแฉโดยกลุ่ม Shadow Broker ซึ่งวันนี้ทาง Symantec พอจะมีหลักฐานเชื่อมโยงเรื่องราวย้อนหลังไปได้ว่ามีกลุ่มแฮ็กเกอร์จีนที่ชื่อ ‘Buckeye’ ได้ใช้เครื่องมือดังกล่าวก่อนเหตุการณ์เปิดเผยในครั้งนั้นมากว่า 1 ปี

เครดิต : Symantec

ย้อนรอยเรื่องราวคือมีกลุ่มแฮ็กเกอร์กลุ่มหนึ่งที่ชื่อ Equation Group ซึ่งคาดว่าได้รับการสนับสนุนจาก NSA จากนั้นในเดือนสิงหาคมปี 2016 โดนกลุ่มแฮ็กเกอร์ที่ชื่อ Shadow Broker แฮ็กได้พร้อมกับขโมยเครื่องมือไปและปล่อยสู่สาธารณะในปี 2017 และเครื่องมือดังกล่าวยังเป็นส่วนหนึ่งในปฏิบัติการของ Ransomware ชื่อดังอย่าง WannaCry ด้วย

หลายคนอาจคิดว่า Shadow Broker คือกลุ่มแรกของปัญหาเครื่องมือจาก NSA แต่ในวันนี้ทาง Symantec ได้พบหลักฐานที่เชื่อว่ามีแฮ็กเกอร์จากจีนในชื่อ ‘Buckeye’ (มีนามแฝงอีกหลายชื่อคือ APT3, UPS Team, Gothic Panda และ TG-0110) มีการใช้เครื่องมือจาก NSA ก่อนที่ Shadow Broker จะปล่อยออกมาเสียอีก

โดย Symantec พบว่าในปี 2016 ที่ทีม Buckeye โจมตีเหยื่อในฮ่องกงมีการใช้เครื่องมือ DoublePulsar ด้วยทั้งนี้ยังถูกปรับแต่งเพื่อใช้เฉพาะตนด้วยไม่เหมือนกับเวอร์ชันที่ได้จาก ShadowBroker ซึ่งในบล็อกของผู้เชี่ยวชาญกล่าวว่า “เมื่อดูจากลำดับเวลาเหตุการณ์โจมตีและฟีเจอร์ในเครื่องมือแล้ว Buckeye น่าจะดัดแปลงเป็นเวอร์ชันของตนด้วยสิ่งที่พบจากการดักจับข้อมูลในเครือข่ายหรือสังเกตการใช้จากกลุ่ม Equation หรืออาจแฮ็กเซิร์ฟเวอร์ของ Equation ได้เช่นกันหรือข้อสันนิษฐานสุดท้ายคือมีคนใน Equation เกลือเป็นหนอนเสียเอง

ทั้งนี้ Symantec ยังได้พบหลักฐานความเคลื่อนไหวจากมัลแวร์ของ Buckeye ที่ชื่อ Bemstour ซึ่งเป็นเครื่องมือที่กลุ่มแฮ็กเกอร์ชอบในเมื่อเดือนมีนาคมปีนี้เอง โดยมีการใช้ช่องโหว่ CVE-2017-0143 หรือช่องโหว่บน Windows SMB (Microsoft แพตช์แล้วมีนาคม 2017) และ CVE-2019-0703 หรือช่องโหว่ Windows SMB information disclosure ที่ทาง Microsoft เพิ่งแพตช์ไปเมื่อมีนาคมนี้ทั้งที่ได้รับแจ้งตั้งแต่กันยายน 2018 แล้วจาก Symantec ทำให้ Buckeye ได้นำหน้าใช้งานช่องโหว่ไปก่อนแพตช์มาระยะหนึ่งแล้ว

ที่มา :  https://www.securityweek.com/chinese-hackers-used-nsa-tool-year-shadow-brokers-leak และ  https://www.bleepingcomputer.com/news/security/nsa-hacking-tools-used-by-chinese-hackers-one-year-before-leak/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Homomorphic Encryption: เทคโนโลยีการเข้ารหัสข้อมูลที่เหล่าผู้ให้บริการ Cloud กำลังให้ความสนใจ

ในช่วงหลายปีที่ผ่านมานี้ หนึ่งในเทคโนโลยีที่เหล่าผู้ให้บริการ Cloud ระดับโลกทั้งหลายไม่ว่าจะเป็น Microsoft, Google, AWS และ IBM ต่างก็ให้ความสำคัญในการวิจัยและพัฒนาเครื่องมือต่างๆ ขึ้นมารองรับการใช้งานจริงในระดับ Commercial นั้น ก็คือ Homomorphic Encryption หรือเทคโนโลยีการเข้ารหัสข้อมูลที่ยังเปิดให้ผู้ใช้งานสามารถทำการวิเคราะห์ข้อมูลได้อยู่นั่นเอง

Pure Storage เปิดตัว FlashArray//C ระบบ All-Flash ความจุมหาศาล พร้อมเทคโนโลยีใหม่อีกจำนวนมาก

Pure Storage ผู้ผลิต All-Flash Storage ชั้นนำ ได้ออกมาประกาศเปิดตัว Pure Storage FlashArray//C และเทคโนโลยีใหม่ๆ อีกเป็นจำนวนมาก เพื่อตอบโจทย์ความต้องการของธุรกิจองค์กรที่หลากหลายในการจัดเก็บและเข้าถึงข้อมูลผ่าน All-Flash อย่างมีประสิทธิภาพและคุ้มค่า ดังนี้