China zou al sinds 2016 toegang hebben tot NSA-tools

In 2017 werden gelekte NSA-tools gretig gedeeld onder hackers, maar uit een nieuw onderzoek blijkt dat een Chinese hackergroep al een jaar eerder aan de slag kon met één van de tools. Een specifieke zero-day die de exploit tool gebruikt, werd nog maar twee maanden geleden gepatcht door Microsoft.

In een uitgebreide blogpost van Symantec onthult de securityspecialist een opvallende tool van Chinese hackergroep Buckeye. Die gebruikte de Double Pulsar en Eternal Blue exploits (onderdeel van de NSA-tools) al een jaar lang voordat ze publiek bekend werden gemaakt door de Shadow Brokers group.

Een variant van Double Pulsar, een backdoor, werd gekoppeld met een eigen ontwikkelde Bemstour exploit tool om toegang te krijgen tot computers. Bemstour maakt gebruik van twee zero-day kwetsbaarheden binnen Windows. Een ervan werd gepatcht begin 2017 door Microsoft vlak voor de NSA-tools publiek beschikbaar waren en misbruikte een geheugenfout. De tweede zero-day werd pas in september 2018 ontdekt en in maart 2019 gepatcht door Microsoft. Hiermee kon je bepaalde SMB Server handelingen controleren.

Belgische school

De Chinese hackergroup heeft de tools voor het eerste gebruikt op 31 maart 2016 in België en Hong Kong. Buckeye had zijn pijlen gericht op een schoolinstituut in België, maar het rapport maakt verder niet bekend welke school en wat er werd buitgemaakt. Later heeft het nog aanvallen gelanceerd in Luxemburg, Vietnam en de Filipijnen. De focus lag telkens op wetenschap en onderzoek, telecommunicatie en onderwijs.

Hoe de groep toegang kreeg tot een deel van de NSA-tools voordat ze publiek verkrijgbaar waren, is koffiedik kijken. Symantec schat dat Buckeye een eigen versie van de tools heeft ontwikkeld uit restanten van NSA-bespioneerde hardware. Een andere piste is dat Buckeye toegang kreeg tot de NSA-tools voordat ze publiek werden gemaakt door de Equation Group door middel van een interne lek. Wannacry is de bekendste aanval die uit de NSA-tools voortkwam en was vorig jaar populairder dan ooit.

In november 2017 werden drie Buckeye-hackers veroordeeld door de VS en verdween de tool naar de achtergrond. Dat gebeurde een half jaar nadat de NSA-tools publiek beschikbaar werden gemaakt door de Shadow Brokers-groep. Desondanks werd er toch pas in september 2018 een zero-daylek ontdekt door Symantec in de Bemstour exploit tool. De securityspecialist verwacht dat de exploit tool werd retooled of dat het zijn tools heeft doorgegeven aan een andere hackergroep. Exacte details daarrond zijn niet bekend.

Gerelateerd: WannaCry-exploit is één jaar later populairder dan ooit