Brasil, 22 de Maio de 2019

Publicidade 1 Aqui no SEGS

Buckeye: grupo de espionagem usou ferramentas do Equation antes de vazamento do Shadow Brokers

Em 2017, o vazamento das ferramentas do grupo Equation (supostamente ligado à agência de segurança nacional dos EUA, a NSA) por outro grupo misterioso denominado Shadow Brokers foi uma das descobertas mais importantes do mercado de segurança recente. O Equation é reconhecido pelas técnicas avançadas de espionagem, e o vazamento das ferramentas utilizada por eles teve um grande impacto, com muitos hackers correndo para implantar o malware e as brechas divulgadas. Uma das ferramentas, a EternalBlue, foi usada no ataque WannaCry em maio de 2017, que teve efeitos devastadores.

Entretanto, a Symantec encontrou evidências que o grupo de espionagem cibernética Buckeye, organização supostamente ligada ao Ministério de Segurança da China (também conhecido como APT3, Gothic Panda), começou a usar as ferramentas do Equation em ataques antes mesmo delas terem vazado. Em março de 2016, o Buckeye começou a usar o DoublePulsar (Backdoor.Doublepulsar), um backdoor que só foi divulgado pelo Shadow Brokers no ano seguinte. O DoublePulsar foi entregue às vítimas por meio de uma ferramenta de exploração customizada que foi feita especificamente para instalar o DoublePulsar.

O malware Bemstour explora duas vulnerabilidades do Windows para conseguir acesso remoto ao código de execução do núcleo dos computadores-alvo. Uma delas é a vulnerabilidade dia zero do Windows (CVE-2019-0703), que foi descoberta pela Symantec. O Segundo achado (CVE-2017-0143) foi em março de 2017. As vulnerabilidades de dia zero permitem o vazamento de informações e podem ser explorada em conjunto com outras brechas para atingir remotamente o código de execução do núcleo de computadores. A Symantec reportou o problema para a Microsoft em setembro de 2019, e foi corrigido em uma atualização de março deste ano.

Ainda não é certo como o grupo Equation conseguiu as ferramentas um ano antes do vazamento do Shadow Brokers. O Buckeye desapareceu em meados de 2017, e três supostos membros do grupo foram indiciados nos Estados Unidos em novembro do mesmo ano. Entretanto, a exploração por meio do Bemstour e a variante DoublePulsar usado por eles continuaram em operação até setembro do ano passado.

Histórico de ataques

O Buckeye está ativo desde 2009, quando começou ataques de espionagem principalmente contra empresas americanas. O grupo possui um recorde de uso de vulnerabilidades dia zero, incluindo CVE-2010-3962 como parte de uma campanha de ataque de 2010 e CVE-2014-1776 em 2014. Embora outros ataques dia zero tenham sido reportados, eles não foram confirmados pela Symantec. Todos esses ataques conhecidos, ou suspeitos, são de vulnerabilidades no Internet Explorer e Flash.

Linha do tempo dos ataques

Em agosto de 2016, um grupo denominado Shadow Brokers começou a divulgar ferramentas atribuídas ao Equation. Inicialmente liberaram amostras das informações que tinham, oferecendo o pacote completo para quem pagasse mais. Com o passar do tempo foram divulgando mais ferramentas, até abril de 2017, quando divulgaram tudo, inclusive o backdoor DoublePulsar, a estrutura FuzzBunch, e as ferramentas de eploração EternalBlue, EternalSynergy e EternalRomance.

Mas o Buckeye já estava utilizando alguma das ferramentas vazadas um ano antes, sendo a primeira evidência encontrada datando de 31 de março de 2016, em um ataque em Hong Kong. Nesta ação, o Bemstour foi entregue às vítimas por meio de um malware conhecido do Buckeye, o Backdoor.Pirpi. Uma hora depois, foi usado contra uma instituição de ensino na Bélgica. Em junho de 2017, a ferramenta foi usada novamente em um ataque a uma empresa em Luxemburgo. Entre junho e setembro do mesmo ano foi usada novamente em ataques a alvos nas Filipinas e no Vietnã.

O ataque mais recente foi identificado pela Symantec em 23 de março deste ano, 11 dias depois da atualização da Microsoft para a vulnerabilidade de dia zero ter sido lançada. O objetivo de todos os ataques foi o mesmo, presença na rede das vítimas provavelmente para roubar informações.

Bemstour

O Bemstour explora duas vulnerabilidades do Windows para atingir o código de execução do núcleo de computadores alvo. A vulnerabilidade de dia zero CVE-2019-0703 encontrada pela Symantec ocorre por conta da maneira com que o servidor SMB do Windows lida com algumas demandas, e permite o vazamento de informações. A segunda, CVE-2017-0143, contém duas vulnerabilidades juntas que permitem aos atacantes total controle do código de execução fonte para entregar o malware para o computador alvo.

Quando o Bemstour foi usado pela primeira vez em 2016, as duas vulnerabilidades eram dia zero. Mesmo a Microsoft tendo liberado atualização em março de 2017 para a CVE-2017-0143, foi utilizada por outras duas ferramentas de exploração – EternalRomance e EternalSynergy, que foram divulgadas pelo Shadow Brokers um mês depois.

DoublePulsar

A variante DoublePulsar usada nos primeiros ataques do Buckeye era diferente da que foi vazada pelo Shadow Brokers. Aparentemente contém códigos para alvos com novas versões do Windows, e inclui ainda uma nova camada para se ofuscar.

Os hackers nunca utilizaram a infraestrutura FuzzBunch (desenvolvido pelo Equation para gerenciar o DoublePulsar e outras ferramentas) nos ataques, o que sugere que o Buckeye teve acesso a um número limitado de ferramentas do grupo Equation.

Compartilhar::

Participe do GRUPO SEGS - PORTAL NACIONAL no FACEBOOK...: https://www.facebook.com/groups/portalnacional/

Separador
IMPORTANTE.: Voce pode replicar este artigo. desde que respeite a Autoria integralmente e a Fonte...  www.segs.com.br
Separador
No Segs, sempre todos tem seu direito de resposta, basta nos contatar que voce sera atendido. - Importante sobre Autoria ou Fonte..: - O Segs atua como intermediario na divulgacao de resumos de noticias (Clipping), atraves de materias, artigos, entrevistas e opinioes. - O conteudo aqui divulgado de forma gratuita, decorrem de informacoes advindas das fontes mencionadas, jamais cabera a responsabilidade pelo seu conteudo ao Segs, tudo que e divulgado e de exclusiva responsabilidade do autor e ou da fonte redatora. - "Acredito que a palavra existe para ser usada em favor do bem. E a inteligencia para nos permitir interpretar os fatos, sem paixao". (Autoria de Lucio Araujo da Cunha) - O Segs, jamais assumira responsabilidade pelo teor, exatidao ou veracidade do conteudo do material divulgado. pois trata-se de uma opiniao exclusiva do autor ou fonte mencionada. - Em caso de controversia, as partes elegem o Foro da Comarca de Santos-SP-Brasil, local oficial da empresa proprietaria do Segs e desde ja renunciam expressamente qualquer outro Foro, por mais privilegiado que seja. O Segs trata-se de uma Ferramenta totalmente automatizada e controlada por IP. - "Leia e use esta ferramenta, somente se concordar com todos os TERMOS E CONDICOES DE USO".
Separador

Adicionar comentário
Aja com responsabilidade, aos SEUS COMENTÁRIOS em Caso de Reclamação, nos reservamos o Direito, a qualquer momento de Mudar, Modificar, Adicionar, ou mesmo Suprimir os comentarios de qualquer um, a qualquer hora, sem aviso ou comunicado previo, leia todos os termos... CLIQUE AQUI E CONHEÇA TODOS OS TERMOS E CONDIÇÕES DE USO. - O Nosso muito obrigado - Esta ferramenta é automatizada...Sucesso!


voltar ao topo

Notícias ::