Hackers de la Agencia de Inteligencia China obtuvieron un malware de la Agencia de Seguridad Nacional de Estados Unidos (NSA) y realizaron múltiples ataques en 2016. Antes de que la herramienta fuera lanzada por los Shadow Brokers. El grupo de hackers chino ligado es conocido como Buckeye, APT3, Gothic Panda, TG-011 y UPS. Se les considera […]
Hackers de la Agencia de Inteligencia China obtuvieron un malware de la Agencia de Seguridad Nacional de Estados Unidos (NSA) y realizaron múltiples ataques en 2016. Antes de que la herramienta fuera lanzada por los Shadow Brokers.
El grupo de hackers chino ligado es conocido como Buckeye, APT3, Gothic Panda, TG-011 y UPS. Se les considera ”avanzado” entre el espectro de APT, y está apoyado y respaldado por el gobierno chino, por ende, tienen la facilidad de crear sus propias herramientas personalizadas y desarrollar zerodays.
En un informe publicado por Symantec, anunciaron que Buckeye usó el malware desarrollado por la NSA hace ya un tiempo y antes de que estuviera expuesto al mundo.
Según un gráfico publicado por Symantec (ver al final de la página), el grupo Buckeye había usado una versión del backdoor DoublePulsar desde marzo de 2016, hace más de un año antes de que los Shadow Brokers lo filtraran en abril de 2017, como parte de un caché más grande de herramientas de hacking de la NSA.
La compañía de seguridad norteamericana dijo que no vio al grupo usar otro malware vinculado a la NSA, como el framework FuzzBunch, la herramienta normal que los agentes de la NSA estaban usando para implementar el backdoor DoublePulsar en los hosts infectados.
En su lugar, el grupo chino utilizó su propia herramienta llamada Bemstour.
Pero también hay un giro. Los investigadores de Symantec dijeron que la versión de DoublePulsar utilizada por Buckeye era diferente de la filtrada por los Shadow Brokers, lo que sugiere un origen diferente.
“Parece que contiene código para apuntar a las versiones más nuevas de Windows (Windows 8.1 y Windows Server 2012 R2), lo que indica que es una versión más nueva del malware”, afirmaron desde Symantec.
Symantec dijo que el grupo Buckeye normalmente usaba DoublePulsar para ejecutar comandos de shell que creaban nuevas cuentas de usuario, sin darse cuenta de las características ocultas avanzadas de la herramienta que DoublePulsar poseía, y que habría permitido a los piratas informáticos realizar muchas otras operaciones adicionales que tendrían todos se mantuvieron escondidos.
El grupo usó DoublePulsar solo en algunos ataques. Symantec informó haber visto esta versión de DoublePulsar en ataques contra organizaciones en Bélgica, Luxemburgo, Vietnam, Hong Kong y Filipinas. Los objetivos incluían organizaciones de investigación científica, instituciones educativas y redes de computadoras de al menos un aliado del gobierno estadounidense.
El grupo Buckeye dejó de usar su versión de backdoor DoublePulsar a mediados de 2017, después de que otras herramientas NSA filtradas (como el exploit EternalBlue) obtuvieran fama internacional después de haber sido utilizadas en algunos de los incidentes cibernéticos más grandes del mundo, como WannaCry y NotPetya.
Según afirman investigadores ”esto probablemente se hizo porque en ese momento la mayoría de los proveedores de ciberseguridad eran capaces de detectar infecciones de DoublePulsar, y el uso de su versión de DoublePulsar se volvió ineficiente”.
Pero el mayor misterio sigue siendo cómo un grupo de hackers chinos se hizo con DoublePulsar.
La teoría que tanto Symantec, como la gran mayoría de la comunidad infosec, propone es que el grupo Buckeye encontró el backdoor desplegado por la NSA en los sistemas chinos, y simplemente la re-propuso para sus ataques. Es decir, utilizó la misma arma pero en contra.
Esto explica la diferente versión de DoublePulsar que los piratas informáticos chinos estaban usando, en comparación con la versión filtrada por los Shadow Brokers un año después, muy probablemente proveniente de otra fuente.
Por ende, y basados en la sincronización de los ataques y las pistas en el código de la computadora, los investigadores de la firma Symantec creen que los chinos no robaron el código sino que lo capturaron de un N.S.A.
Los analistas de la agencia consideran que el grupo de piratería chino que cooptó con las herramientas de N.S.A. se encuentra entre los contratistas chinos más peligrosos que rastrea, según una nota de agencia clasificada revisada por The New York Times. El grupo es responsable de numerosos ataques contra algunos de los objetivos de defensa más sensibles dentro de los Estados Unidos, incluidos los fabricantes de tecnología espacial, satelital y de propulsión nuclear.
Informes de la inteligencia estadounidense afirman que china es ”uno de los jugadores más hábiles en esto”, ya que es persistente en las operaciones de ciberguerra e inteligencia.