به گفته چک‌پوینت، هکرهای چینی حتی پیش از فاش شدن ابزارهای جاسوسی آمریکا توسط Shadow Brokers به آنها دسترسی داشتند.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، شرکت امنیتی چک‌پوینت (Check Point Software) به تازگی اعلام کرد که گروه هکری APT3، وابسته به دولت چین، حتی پیش از فاش شدن بدافزارها و ابزارهای جاسوسی آژانس امنیت ملی آمریکا (NSA)، توسط گروه کارگزاران سایه (Shadow Brokers) در سال‌های ۲۰۱۶ و ۲۰۱۷ به آنها به دسترسی داشته‌است. این مجموعه ابزارهای گردآوری شده UPSynergy نام دارند.

تحقیقات چک‌پوینت نشان می‌دهد APT3 بر پایه دسترسی‌های خود به ترافیک شبکه آژانس امنیت ملی، یک نسخه‌ سفارشی‌سازی شده از بدافزار گروه اکویشن (Equation) را بازسازی کرده‌اند. کاربرد این بدافزار به گونه‌ای بود که به منظور هدف قرار دادن سیستم‌عامل ویندوز به آسیب‌پذیری روز صفرم (Zero-day) بهره می‌برد.

چک‌پوینت بر پایه تحقیقات سیمانتک (Symantec) که اوایل ۲۰۱۹ منتشر شده‌بود، گزارش خود را ارائه داد. در آن زمان سیمانتک، چگونگی استفاده APT3 از یکی از ابزارهای آژانس امنیت ملی را حتی پیش از اقدام کارگزاران سایه، شرح داده‌بود.

شرکت‌های چک‌پوینت، سیمانتک، ریکوردد فیوچر (Recorded Future) و Intrusion Truth، معتقدند که APT3 توسط وزارت امنیت داخلی چین حمایت می‌شود. با وجود این هنوز مشخص نیست که هکرهای این گروه خود بدافزارهای مورد استفاده را توسعه داده یا آن را جایی تهیه کرده‌اند.

ابزار مورد بررسی سیمانتک، بماستور (Bemstour) نام گرفته‌است. این بدافزار یکی از تجهیزات مورد استفاده اکویشن به حساب می‌آید که با اترنال رومنس (EternalRomance exploit) فاش شده توسط کارگزاران سایه در ارتباط است.

چک‌پوینت گفت: گروه APT3 در تلاش بود تا ابزار مذکور را به‌گونه‌ای ویرایش کند که نسخه‌های بیشتری از ویندوز را هدف قرار دهد. مشابه عمان اقدامی که اکویشن سعی داشت با EternalSynergy انجام دهد. برای رسیدن به این هدف به آسیب‌پذیری روز صفرمی نیاز بود که امکان نشت اطلاعات کرنل را فراهم آورد.

از آنجایی که APT3 از یک روز صفرم برای نفوذ به سیستم‌ها استفاده کرده‌بود، دسترسی مستقیمی به هیچ‌یک از ابزارهای آژانس امنیت ملی نداشت. داده‌های پروتکل SMB که در طول اجرای ابزار مذکور از آنها استفاده می‌شد به جای تولید توسط یک کتابخانه شخص ثالث به‌صورت دستی توسط توسعه‌دهندگان ایجاد می‌شد.

از آنجایی که بسیاری از بسته‌های پروتکل مذکور دارای اطلاعات هارد کد (Hard-code) و به ظاهر دلخواه شده‌بود، می‌توان تصور کرد که هکرها در تلاش بودند بر پایه ترافیک ثبت‌شده‌ قبلی اقدام به نفوذ بکنند.

روی ترافیک شبکه آژانس امنیت ملی به واسطه دستگاهی تحت کنترل APT3 نظارت انجام می‌گرفت. به این معنی که احتمالاً ابزار مذکور توسط آژانس امنیت ملی هدف قرار داده شده و APT3 روی آن نظارت می‌کرد.

چک‌پوینت اعلام کرد هر دو گروه APT3 و NSA یک رقابت تسلیحاتی را در زمینه پروتکل SMB آغاز کرده‌اند؛ اما نمی‌توان با اطمینان اثبات کرد که APT3 به ابزارهای جاسوسی نهاد آمریکایی دسترسی پیدا کرده‌است.