2016年8月����,一個自稱“影子經(jīng)紀人”的黑客組織在互聯(lián)網(wǎng)上拍賣美國國家安全局(NSA)旗下網(wǎng)絡(luò)攻擊組織“方程式組織”的資產(chǎn)。開發(fā)出來的攻擊工具在當時引起了軒然大波�。不過,安全行業(yè)賽門鐵克近日發(fā)現(xiàn)新證據(jù)����,指出網(wǎng)絡(luò)間諜組織Buckeye早在2016年3月就開始使用相關(guān)攻擊程序��。
從時間上看����,Shadow Broker在2017年4月發(fā)布了包括DoublePulsar、FuzzBunch�、EternalBlue和EternalSynergy在內(nèi)的攻擊工具,次月韓國黑客利用DoublePulsar和EternalBlue傳播造成重大災(zāi)難的WannaCry勒索軟件�����,但Buckeye已經(jīng)發(fā)起了攻擊于2016 年3 月與DoublePulsar 一起推出����。
到目前為止����,影子經(jīng)紀人的身份仍然未知�。推測其來自俄羅斯,其擁有的攻擊工具是從國家安全局承包商處獲得的����。至于Buckeye,也稱為APT3或Gothic Panda�,是來自中國的網(wǎng)絡(luò)間諜組織。該團隊從2009年開始運作��,直到2017年中被美國打壓���。
研究人員指出�����,2016年3月�����,Buckeye為后門程序DoublePulsar設(shè)計了專用攻擊工具Bemstour����,利用兩個微軟零日漏洞CVE-2017-0143和CVE-2019-0703,并利用其攻擊香港和比利時���,前者于2017年3月修補��,后者直到今年才修補�����。
賽門鐵克不確定Buckeye是如何獲得DoublePulsar的����,但考慮到Buckeye沒有使用影子經(jīng)紀人泄露的其他攻擊程序�����,研究人員推測Buckeye可能發(fā)現(xiàn)了NSA在中國系統(tǒng)上植入的DoublePulsar��。秉承“草船借箭”的精神����,DoublePulsar被重新打造�����,看起來不太像被偷了或者被買了。
本文轉(zhuǎn)載:iThome
