หากเรายังจำกันได้ถึงเหตุการณ์ WannaCry ซึ่งเป็นส่วนหนึ่งของการใช้ช่องโหว่จากเครื่องมือแฮ็กของ NSA ที่ถูกแฉโดยกลุ่ม Shadow Broker ซึ่งวันนี้ทาง Symantec พอจะมีหลักฐานเชื่อมโยงเรื่องราวย้อนหลังไปได้ว่ามีกลุ่มแฮ็กเกอร์จีนที่ชื่อ ‘Buckeye’ ได้ใช้เครื่องมือดังกล่าวก่อนเหตุการณ์เปิดเผยในครั้งนั้นมากว่า 1 ปี

ย้อนรอยเรื่องราวคือมีกลุ่มแฮ็กเกอร์กลุ่มหนึ่งที่ชื่อ Equation Group ซึ่งคาดว่าได้รับการสนับสนุนจาก NSA จากนั้นในเดือนสิงหาคมปี 2016 โดนกลุ่มแฮ็กเกอร์ที่ชื่อ Shadow Broker แฮ็กได้พร้อมกับขโมยเครื่องมือไปและปล่อยสู่สาธารณะในปี 2017 และเครื่องมือดังกล่าวยังเป็นส่วนหนึ่งในปฏิบัติการของ Ransomware ชื่อดังอย่าง WannaCry ด้วย
หลายคนอาจคิดว่า Shadow Broker คือกลุ่มแรกของปัญหาเครื่องมือจาก NSA แต่ในวันนี้ทาง Symantec ได้พบหลักฐานที่เชื่อว่ามีแฮ็กเกอร์จากจีนในชื่อ ‘Buckeye’ (มีนามแฝงอีกหลายชื่อคือ APT3, UPS Team, Gothic Panda และ TG-0110) มีการใช้เครื่องมือจาก NSA ก่อนที่ Shadow Broker จะปล่อยออกมาเสียอีก
โดย Symantec พบว่าในปี 2016 ที่ทีม Buckeye โจมตีเหยื่อในฮ่องกงมีการใช้เครื่องมือ DoublePulsar ด้วยทั้งนี้ยังถูกปรับแต่งเพื่อใช้เฉพาะตนด้วยไม่เหมือนกับเวอร์ชันที่ได้จาก ShadowBroker ซึ่งในบล็อกของผู้เชี่ยวชาญกล่าวว่า “เมื่อดูจากลำดับเวลาเหตุการณ์โจมตีและฟีเจอร์ในเครื่องมือแล้ว Buckeye น่าจะดัดแปลงเป็นเวอร์ชันของตนด้วยสิ่งที่พบจากการดักจับข้อมูลในเครือข่ายหรือสังเกตการใช้จากกลุ่ม Equation หรืออาจแฮ็กเซิร์ฟเวอร์ของ Equation ได้เช่นกันหรือข้อสันนิษฐานสุดท้ายคือมีคนใน Equation เกลือเป็นหนอนเสียเอง“
ทั้งนี้ Symantec ยังได้พบหลักฐานความเคลื่อนไหวจากมัลแวร์ของ Buckeye ที่ชื่อ Bemstour ซึ่งเป็นเครื่องมือที่กลุ่มแฮ็กเกอร์ชอบในเมื่อเดือนมีนาคมปีนี้เอง โดยมีการใช้ช่องโหว่ CVE-2017-0143 หรือช่องโหว่บน Windows SMB (Microsoft แพตช์แล้วมีนาคม 2017) และ CVE-2019-0703 หรือช่องโหว่ Windows SMB information disclosure ที่ทาง Microsoft เพิ่งแพตช์ไปเมื่อมีนาคมนี้ทั้งที่ได้รับแจ้งตั้งแต่กันยายน 2018 แล้วจาก Symantec ทำให้ Buckeye ได้นำหน้าใช้งานช่องโหว่ไปก่อนแพตช์มาระยะหนึ่งแล้ว
ที่มา : https://www.securityweek.com/chinese-hackers-used-nsa-tool-year-shadow-brokers-leak และ https://www.bleepingcomputer.com/news/security/nsa-hacking-tools-used-by-chinese-hackers-one-year-before-leak/