أخبار تقنية

“سيمانتك” تكشف أدوات التجسس التي استخدمتها Buckeye للقرصنة

دبي – “نبذة”

قال فريق شركة “سيمانتك” للتحقيق في الهجمات الإلكترونية، إن مجموعة Buckeye استغلت ثغرات “زيرو داي” في نظام التشغيل “ويندوز” بواسطة Buckeye إلى جانب الأدوات الخاصة بمجموعةEquation، خلال هجمات عام 2016، مؤكداً استمرار استخدام هذه الأدوات بعد اختفاء المجموعة في عام 2017.

وأوضح الفريق أن أهم النتائج التي تم استخلاصها من التحقيق، أن مجموعة Buckeye استخدمت أدوات مجموعةEquation  من أجل الحصول على وصول مستمر إلى المؤسسات المستهدفة قبل سنة على الأقل من تسريبات مجموعة Shadow Brokers.

وأضاف أنه يبدو أن أدوات Equation  التي استخدمتها Buckeye مختلفة عن تلك التي أصدرتها Shadow Brokers، ما يشير إلى مصدر مختلف للأدوات، لافتاً إلى أن استخدام Buckeye لأدواتEquation أدى إلى استغلال ثغرة أمنية من نوع “زيرو داي” لم تكن معروفة من قبل في نظام “ويندورز”. وتابع أنه تم إبلاغ شركة “مايكرو سوفت” من قبل شركة “سيمانتك” عن ثغرة “زيرو داي” في سبتمبر 2018، وتم تصحيحها في مارس 2019.

وأشار الفريق إلى أنه في حين أن Buckeye توقفت عن العمل في منتصف عام 2017، إلا أن استخدام أدواتEquation  استمر حتى أواخر عام 2018، لكنه من غير المعروف من استمر في استخدام الأدوات. وزاد أنه ربما تم نقلهم إلى مجموعة أخرى أو ربما استمرت Buckeye في العمل لفترة أطول من المفترض.

وشدد على أن تسرب أدوات مجموعة Equation  في عام 2017 من قبل مجموعة غامضة تطلق على نفسها اسم Shadow Brokers، كان أحد أهم قصص الامن السيبراني في السنوات الأخيرة. وتعتبر مجموعة Equation من أكثر مجموعات التجسس مهارة من الناحية الفنية، وكان لإصدارها مجموعة من أدواتها تأثير كبير، حيث اتجه العديد من المهاجمين إلى نشر البرامج الضارة واستغلالها. وواحدة من هذه الأدوات، وتحمل اسم EternalBlue، تم استخدامها في إحداث تأثير خطير خلال هجمات الفدية WannaCry في مايو 2017.

وأوضح الفريق أن “سيمانتك” وجدت أخيراً دليلاً على أن مجموعة Buckeye للتجسس الإلكتروني (المعروف أيضاً باسم APT3 ، Gothic Panda) بدأت في استخدام أدوات مجموعةEquation  في هجماتها قبل عام على الأقل من تسريبات مجموعة Shadow Brokers. وبدأت مجموعة Buckeye في استخدام مجموعة متنوعة من DoublePulsar (Backdoor.Doublepulsar)  من  مارس 2016، وهي أداة باب خلفي تم إصدارها في وقت لاحق بواسطة مجموعة Shadow Brokers في عام 2017. ويتم إصابة الضحايا بـDoublePulsar باستخدام أداة اختراق مخصصة تحمل اسم (Trojan.Bemstour) تم تصميمها خصوصاً لتثبيت DoublePulsar.

وتستغل Bemstour اثنين من ثغرات نظام التشغيل “ويندوز” من أختراق كود الكيرنال الخاص بالحاسوب المستهدف عن بعد. واكتشف “سيمانتك” واحدة من هذه الثغرات الأمنية من نوع “زيرو داي” في نظام التشغيل “ويندوز” (CVE-2019-0703). وتم تصحيح ثغرة “ويندوز” الثانية (CVE-2017-0143) في مارس 2017 بعدما تم اكتشاف استخدامها من قبل اثنين من أدوات الاختراق، EternalRomance و EternalSynergy، التين تم إصدارهما أيضًا كجزء من تسريبات مجموعة Shadow Brokers.

وتسمح ثغرة “زيرو داي بتسريب” المعلومات ويمكن استغلالها بالاقتران مع الثغرات الأخرى للوصول إلى اختراق كود الكيرنال عن بعد. وأبلغت شركة “سيمانتك” شركة “مايكروسوفت” عن الثغرة في سبتمبر 2018 وتم تصحيحها في 12 مارس 2019.

وكانت مجموعة Buckeye قد اختفت في منتصف عام 2017 وتم توجيه الاتهام إلى ثلاثة من أعضاءها في الولايات المتحدة في نوفمبر 2017. ومع ذلك، ومع توقف النشاط المستخدم فيه أدوات Buckeye المعروفة في منتصف عام 2017، استمرت الأداة Bemstour والمتغير DoublePulsar الذي تستخدمه Buckeye في الاستخدام حتى سبتمبر 2018 على الأقل بجانب برامج ضارة أخرى مختلفة

وبدأ نشاط المجموعة Buckeye عام 2009 على الأقل، عندما بدأت في شن سلسلة من هجمات التجسس ضد المؤسسات  التي تتخذ من الولايات المتحدة مقراً لها.

وتمتلك المجموعة تاريخاً من استغلال ثغرات “زيرو داي”. بما في ذلك CVE-2010-3962 كجزء من حملة هجوم في عام 2010 وCVE-2014-1776 في عام 2014. وعلى الرغم من أنه تم الإبلاغ عن هجمات أخرى من نوع “زيرو داي”، إلا أن سيمانتك لم تؤكدها. واعتمدت كل الهجمات، المعروفة أو المشتبه فيها، التي تم استغلال ثغرة “زيرو داي” فيها، والتي تم قامت بها هذه المجموعة هي نقاط الضعف في متصفح إنترنت إكسبلورر وتطبيق فلاش.

وبدأت مجموعة Shadow Brokers في إطلاق أدوات نسبتها إلى مجموعة Equation، في شهر أغسطس 2016، وفي البداية أطلقت بعض العينات من العلومات التي يديها، واعدة بتوفير المجموعة بالكامل لأعلى سعر. وعلى مدار الأشهر التالية، أصدرت المزيد من الأدوات بشكل تدريجي، حتى جاء شهر إبريل 2017 لتقوم المجموعة بنشر مجموعة كبيرة من أدوات القرصنة، بما في ذلك الباب الخلفي DoublePulsar وإطار العمل FuzzBunch وأدوات استغلال الثغرات EternalBlue و EternalSynergyو EternalRomance.

واستخدمت الاداة Bemstour مرة أخرى في شهر يونيو 2017 في هجوم على مؤسسة في لوكسمبورج. وعلى عكس الهجمات السابقة التي تم فيها استخدام Bemstour عن طريق الباب الخلفي Pirpi  من Buckeye، تم أستخدام Bemstour إلى الضحية عن طريق أداة حصان طروادة مختلفة وهي (Backdoor.Filensfer). وتم استخدام Bemstour في الفترة بين يونيو وسبتمبر 2017، ضد أهداف في الفلبين وفيتنام أيضاً.

واستمر تطوير Bemstour حتى عام 2019. ويبدو أن أحدث إصدار من Bemstour والتي رصدتها “سيمانتك”، تم تجميعها في 23 مارس 2019، بعد 11 يوماً من تصحيح ثغرة زيرو داي عن طريق “مايكروسوفت”.

وكان الغرض من كل هذه الهجمات هو تحقيق وجود مستمر على شبكة الضحية، ما يعني أن سرقة المعلومات كانت الدافع الأكبر للهجمات.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

%d bloggers like this: