シマンテックは今週、中国の諜報活動グループ「Buckeye」が、Shadow Brokersがツールを公開する少なくとも1年前からNSAのDouble PulsarおよびEternal Blueエクスプロイトを使用していたことをブログに投稿しました。シマンテックは、BuckeyeグループがNSAによる攻撃中にNSAのツールを研究し、その後、それらのツールの独自バージョンを構築できた可能性があると考えています。
バックアイ諜報活動
シマンテックによると、スパイ活動グループ「Buckeye」は、香港、ベルギー、ルクセンブルク、そして一部のアジア諸国の通信、研究開発、教育機関を標的として情報を窃取していました。Buckeyeは、「Bemstour」と呼ばれるカスタムエクスプロイトツールを介して配信されるDoublePulsarの亜種を使用していました。BemstourはDoublePulsarをインストールするために特別に設計されていました。
Bemstourは、2つのWindowsの脆弱性を悪用し、被害者のマシン上でリモートカーネルコード実行を実現します。そのうちの1つ(CVE-2019-0703)は、シマンテックが発見したゼロデイ脆弱性です。シマンテックは2018年9月にこの脆弱性をMicrosoftに報告し、Microsoftは2019年3月に修正プログラムを公開しました。Microsoftが修正プログラムを公開してから11日後、シマンテックはBemstourの新たなサンプルが実環境で確認されました。
Buckeye が利用し、2017 年 3 月に Microsoft が修正した 2 番目の脆弱性 (CVE-2017-0143) は、Shadow Brokers の漏洩で明らかになったように、2 つの NSA エクスプロイト ツールである EternalRomance と EternalSynergy でも利用されていました。
別のセキュリティベンダーはシマンテックに対し、Buckeye グループが、Buckeye が作成した別の既知のバックドアである Pirpi と組み合わせて、Filensfer と呼ばれる別のマルウェアを使用していたと非公式に伝えた。
ハッキンググループによるNSAツールの利用が拡大
シマンテックによると、Buckeyeグループの活動は2017年半ばまでに停止しました。数か月後の2017年11月、同グループのメンバーとされる3人が米国政府によって起訴されました。グループの活動は終了しましたが、同グループが利用したツールは、少なくとも1年間、つまり2018年9月まで、他のマルウェアと組み合わせて他者によって使用され続けました。
Shadow Brokersグループは2017年4月にNSAのツールを漏洩しました。それ以来、複数のサイバー犯罪グループがこれらのツールをハッキングツールセットに組み込み、壊滅的な被害をもたらしています。シマンテックは、Shadow Brokersが公開するまで、BuckeyeグループがNSAのエクスプロイトツールの全セットにアクセスしたことはなかったと考えています。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
別のスパイ/ハッキンググループが、NSA の攻撃をライブで見ているだけで NSA のハッキングツールにアクセスできたという事実は、「善人」(議論のために、ここでは NSA が善人であると仮定) 用のバックドアを作成することが現実世界では決して機能しない理由のもう一つの例です。なぜなら、あらゆる種類のハッカーが最終的に同じバックドアやハッキングツールを手に入れることになるからです。
NSA の傲慢さ (Microsoft も指摘) のおかげで、世界で最も危険なサイバー犯罪グループの一部が、今後何年にもわたって何百万人もの人々に危害を加える可能性のある、最高品質で非常に洗練されたハッキング ツールにアクセスできるようになっています。
