Symantec พบกลุ่มแฮ็กเกอร์จีนใช้เครื่องมือแฮ็กจาก NSA ก่อนเผยต่อสาธารณะกว่า 1 ปี 

10 พ.ค.62 (11:47 น.)
เปิดอ่าน 221 ครั้ง
หากเรายังจำกันได้ถึงเหตุการณ์ WannaCry ซึ่งเป็นส่วนหนึ่งของการใช้ช่องโหว่จากเครื่องมือแฮ็กของ NSA ที่ถูกแฉโดยกลุ่ม Shadow Broker ซึ่งวันนี้ทาง Symantec พอจะมีหลักฐานเชื่อมโยงเรื่องราวย้อนหลังไปได้ว่ามีกลุ่มแฮ็กเกอร์จีนที่ชื่อ ‘Buckeye’ ได้ใช้เครื่องมือดังกล่าวก่อนเหตุการณ์เปิดเผยในครั้งนั้นมากว่า 1 ปี

เครดิต : Symantec

ย้อนรอยเรื่องราวคือมีกลุ่มแฮ็กเกอร์กลุ่มหนึ่งที่ชื่อ Equation Group ซึ่งคาดว่าได้รับการสนับสนุนจาก NSA จากนั้นในเดือนสิงหาคมปี 2016 โดนกลุ่มแฮ็กเกอร์ที่ชื่อ Shadow Broker แฮ็กได้พร้อมกับขโมยเครื่องมือไปและปล่อยสู่สาธารณะในปี 2017 และเครื่องมือดังกล่าวยังเป็นส่วนหนึ่งในปฏิบัติการของ Ransomware ชื่อดังอย่าง WannaCry ด้วย

หลายคนอาจคิดว่า Shadow Broker คือกลุ่มแรกของปัญหาเครื่องมือจาก NSA แต่ในวันนี้ทาง Symantec ได้พบหลักฐานที่เชื่อว่ามีแฮ็กเกอร์จากจีนในชื่อ ‘Buckeye’ (มีนามแฝงอีกหลายชื่อคือ APT3, UPS Team, Gothic Panda และ TG-0110) มีการใช้เครื่องมือจาก NSA ก่อนที่ Shadow Broker จะปล่อยออกมาเสียอีก

โดย Symantec พบว่าในปี 2016 ที่ทีม Buckeye โจมตีเหยื่อในฮ่องกงมีการใช้เครื่องมือ DoublePulsar ด้วยทั้งนี้ยังถูกปรับแต่งเพื่อใช้เฉพาะตนด้วยไม่เหมือนกับเวอร์ชันที่ได้จาก ShadowBroker ซึ่งในบล็อกของผู้เชี่ยวชาญกล่าวว่า “เมื่อดูจากลำดับเวลาเหตุการณ์โจมตีและฟีเจอร์ในเครื่องมือแล้ว Buckeye น่าจะดัดแปลงเป็นเวอร์ชันของตนด้วยสิ่งที่พบจากการดักจับข้อมูลในเครือข่ายหรือสังเกตการใช้จากกลุ่ม Equation หรืออาจแฮ็กเซิร์ฟเวอร์ของ Equation ได้เช่นกันหรือข้อสันนิษฐานสุดท้ายคือมีคนใน Equation เกลือเป็นหนอนเสียเอง“

ทั้งนี้ Symantec ยังได้พบหลักฐานความเคลื่อนไหวจากมัลแวร์ของ Buckeye ที่ชื่อ Bemstour ซึ่งเป็นเครื่องมือที่กลุ่มแฮ็กเกอร์ชอบในเมื่อเดือนมีนาคมปีนี้เอง โดยมีการใช้ช่องโหว่ CVE-2017-0143 หรือช่องโหว่บน Windows SMB (Microsoft แพตช์แล้วมีนาคม 2017) และ CVE-2019-0703 หรือช่องโหว่ Windows SMB information disclosure ที่ทาง Microsoft เพิ่งแพตช์ไปเมื่อมีนาคมนี้ทั้งที่ได้รับแจ้งตั้งแต่กันยายน 2018 แล้วจาก Symantec ทำให้ Buckeye ได้นำหน้าใช้งานช่องโหว่ไปก่อนแพตช์มาระยะหนึ่งแล้ว

ที่มา :  https://www.securityweek.com/chinese-hackers-used-nsa-tool-year-shadow-brokers-leak และ  https://www.bleepingcomputer.com/news/security/nsa-hacking-tools-used-by-chinese-hackers-one-year-before-leak/
https://www.techtalkthai.com/symantec-found-evidence-chinese-hacker-group-with-nsa-tool/

Cyber Domain - Royal Thai Air Force

ล่าสุด

ระวังมัลแวร์ Emotet ขโมยรหัสธนาคารออนไลน์ แพร่กระจายผ่าน Wi-Fi
17 ก.พ.63(เมื่อวาน) อ่าน 31 ครั้ง
Microsoft เตือนผู้ดูแล Exchange เร่งปิด SMBv1 ป้องกันมัลแวร์
14 ก.พ.63(5 วัน) อ่าน 33 ครั้ง
สหรัฐฯ เข้าจับแฮ็กเกอร์ชาวจีนกรณีแฮ็ก Equifax
11 ก.พ.63(7 วัน) อ่าน 20 ครั้ง
พบช่องโหว่ WhatsApp สามารถใช้เข้าถึงไฟล์ของระบบได้
8 ก.พ.63(11 วัน) อ่าน 16 ครั้ง
พบ Backdoor ในชิป HiSilicon คาดอุปกรณ์ DVR/NVR จำนวนมากตกอยู่ในความเสี่ยง
8 ก.พ.63(11 วัน) อ่าน 11 ครั้ง
วิธีการป้องกันภัยจากฟิชชิ่ง (Phishing)
6 ก.พ.63(12 วัน) อ่าน 62 ครั้ง
ประกาศบัญชีรายชื่อผู้ผ่านการเลือกสรรพนักงานราชการทั่วไป
5 ก.พ.63(13 วัน) อ่าน 139 ครั้ง
บริษัทความปลอดภัยไซเบอร์ตรวจสอบระบบไอทีสนามบิน 100 แห่ง มีเพียง 3 แห่งที่ผ่านมาตรฐาน
4 ก.พ.63(14 วัน) อ่าน 15 ครั้ง
ทวิตเตอร์พบคนร้ายใช้ API จับคู่เบอร์โทรศัพท์กับชื่อบัญชี
4 ก.พ.63(14 วัน) อ่าน 7 ครั้ง
พบช่องโหว่บน Microsoft Azure Stack เสี่ยงถูกแฮ็กเกอร์เข้าควบคุม Cloud Servers บนนั้นได้
4 ก.พ.63(14 วัน) อ่าน 8 ครั้ง
ระวังภัย พบมัลแวร์แพร่กระจายผ่านอีเมลโดยอ้างชื่อไวรัสโคโรน่า
3 ก.พ.63(15 วัน) อ่าน 13 ครั้ง
พบช่องโหว่บน Plugin Code Snippets บน WordPress แนะผู้ใช้ควรอัปเดต
30 ม.ค.63(19 วัน) อ่าน 13 ครั้ง
เผยกลเม็ด Phishing ใหม่ของคนร้ายกับบริการ Citibank
30 ม.ค.63(19 วัน) อ่าน 21 ครั้ง
เตือน! พบบั๊กทำ Windows 10 บูตไม่ขึ้นใน KB4528760
30 ม.ค.63(19 วัน) อ่าน 17 ครั้ง
Microsoft ออกเตือนช่องโหว่ Zero-day บน Internet Explorer ที่ถูกใช้โจมตีแล้ว
28 ม.ค.63(21 วัน) อ่าน 33 ครั้ง