به گفته چکپوینت، هکرهای چینی حتی پیش از فاش شدن ابزارهای جاسوسی آمریکا توسط Shadow Brokers به آنها دسترسی داشتند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، شرکت امنیتی چکپوینت (Check Point Software) به تازگی اعلام کرد که گروه هکری APT3، وابسته به دولت چین، حتی پیش از فاش شدن بدافزارها و ابزارهای جاسوسی آژانس امنیت ملی آمریکا (NSA)، توسط گروه کارگزاران سایه (Shadow Brokers) در سالهای ۲۰۱۶ و ۲۰۱۷ به آنها به دسترسی داشتهاست. این مجموعه ابزارهای گردآوری شده UPSynergy نام دارند.
تحقیقات چکپوینت نشان میدهد APT3 بر پایه دسترسیهای خود به ترافیک شبکه آژانس امنیت ملی، یک نسخه سفارشیسازی شده از بدافزار گروه اکویشن (Equation) را بازسازی کردهاند. کاربرد این بدافزار به گونهای بود که به منظور هدف قرار دادن سیستمعامل ویندوز به آسیبپذیری روز صفرم (Zero-day) بهره میبرد.
چکپوینت بر پایه تحقیقات سیمانتک (Symantec) که اوایل ۲۰۱۹ منتشر شدهبود، گزارش خود را ارائه داد. در آن زمان سیمانتک، چگونگی استفاده APT3 از یکی از ابزارهای آژانس امنیت ملی را حتی پیش از اقدام کارگزاران سایه، شرح دادهبود.
شرکتهای چکپوینت، سیمانتک، ریکوردد فیوچر (Recorded Future) و Intrusion Truth، معتقدند که APT3 توسط وزارت امنیت داخلی چین حمایت میشود. با وجود این هنوز مشخص نیست که هکرهای این گروه خود بدافزارهای مورد استفاده را توسعه داده یا آن را جایی تهیه کردهاند.
ابزار مورد بررسی سیمانتک، بماستور (Bemstour) نام گرفتهاست. این بدافزار یکی از تجهیزات مورد استفاده اکویشن به حساب میآید که با اترنال رومنس (EternalRomance exploit) فاش شده توسط کارگزاران سایه در ارتباط است.
چکپوینت گفت: گروه APT3 در تلاش بود تا ابزار مذکور را بهگونهای ویرایش کند که نسخههای بیشتری از ویندوز را هدف قرار دهد. مشابه عمان اقدامی که اکویشن سعی داشت با EternalSynergy انجام دهد. برای رسیدن به این هدف به آسیبپذیری روز صفرمی نیاز بود که امکان نشت اطلاعات کرنل را فراهم آورد.
از آنجایی که APT3 از یک روز صفرم برای نفوذ به سیستمها استفاده کردهبود، دسترسی مستقیمی به هیچیک از ابزارهای آژانس امنیت ملی نداشت. دادههای پروتکل SMB که در طول اجرای ابزار مذکور از آنها استفاده میشد به جای تولید توسط یک کتابخانه شخص ثالث بهصورت دستی توسط توسعهدهندگان ایجاد میشد.
از آنجایی که بسیاری از بستههای پروتکل مذکور دارای اطلاعات هارد کد (Hard-code) و به ظاهر دلخواه شدهبود، میتوان تصور کرد که هکرها در تلاش بودند بر پایه ترافیک ثبتشده قبلی اقدام به نفوذ بکنند.
روی ترافیک شبکه آژانس امنیت ملی به واسطه دستگاهی تحت کنترل APT3 نظارت انجام میگرفت. به این معنی که احتمالاً ابزار مذکور توسط آژانس امنیت ملی هدف قرار داده شده و APT3 روی آن نظارت میکرد.
چکپوینت اعلام کرد هر دو گروه APT3 و NSA یک رقابت تسلیحاتی را در زمینه پروتکل SMB آغاز کردهاند؛ اما نمیتوان با اطمینان اثبات کرد که APT3 به ابزارهای جاسوسی نهاد آمریکایی دسترسی پیدا کردهاست.