سازمان NSA احتمالا ابزار جاسوسی خود را برای چینیها فاش کرده است
گروه امنیتی سیمانتک در پستی وبلاگی ادعا کرد گروه هک و نفوذ چینی بهنام بوکیه (Buckeye) حدود یک سال پیش از افشای ابزارهای جاسوسی NSA، از آنها استفاده میکرده است. ابزارهای دابل پالسار (Double Palsar) و اترنال بلو (Eternal Blue) بدافزاهای جاسوسی بودند که آژانس امینت ملی آمریکا برای نفوذ به شبکههای کامپیوتری از آنها استفاده میکرد و گروه Shadow Brokers استفادهی NSA از ابزارهای مذکور را رسانهای کرد. سیمانتک میگوید چینیها با مطالعهی هکی که آمریکا برنامهریزی کرده بود، ابزارها را کشف کردند. آنها سپس توانستند نسخهای اختصاصی از ابزار را برای خود توسعه دهند.
عملیات جاسوسی و نفوذ گروه بوکیه
گروه جاسوسی بوکیه با هدف قراردادن مراکز مخابراتی و تحقیقوتوسعه و مؤسسههای آموزشی بلژیک، لوکزامبورگ، هنگکنگ و برخی کشورهای آسیایی دیگر، اطلاعات مدنظر خود را میدزدید. آنها نسخهای شخصیسازیشده از بدافزار دابلپالسار را با استفاده از ابزار نفوذی بمستور (Bemstour) بهکار میگرفتند که بهصورت انحصاری برای نصب دابلپالسار طراحی شده بود.
ابزار بمستور از دو آسیبپذیری ویندوز استفاده میکرد تا کنترل ازراهدور را برای اجرای کدهای کرنل در ماشین قربانی بهدست بگیرد. یکی از آنها که با کد CVE-2019-0703 شناخته میشود، از آسیبپذیریهای روز صفر محسوب میشود که سیمانتک کشف کرده است. این گروه امنیتی آسیبپذیری مذکور را در سپتامبر۲۰۱۸ به مایکروسافت گزارش داد و آنها در مارس۲۰۱۹ پچ امنیتی مخصوص را ارائه کردند. سیمانتک ۱۱ روز پس از ارائهی پج امنیتی بازهم نمونهای از اجرای بمستور را کشف کرد.
آسیبپذیری دوم استفادهشدهی هکرها CVE-2017-0143 نام دارد که گروه هکری بوکیه از آن سوءاستفاده کرد. ردموندیها در مارس۲۰۱۷ پچ امنیتی مخصوصی برای آن ارائه کردند. آسیبپذیری دوم را نیز ابزارهای جاسوسی NSA به نامهای اترنالرومنس (EternalRomance) و اترنالسینرژی (EternalSynergy) بهکار میبردند. گروه شادو براکرز (Shadow Brokers) در افشاسازی خود به این ابزارها هم اشاره کرده بودند.
در گزارش سیمانتک میخوانیم گروه چینی بوکیه از بدافزار دیگری هم استفاده میکرده است. ابزار دیگر بهنام Filensfer شناخته میشود که بههمراه ابزار ساخت در پشتی بوکیه بهنام Pirpi در حملات استفاده میشد.
افزایش استفادهی گروههای هکری از ابزارهای NSA
هکرها هنوزهم به استفاده از ابزارهای NSA ادامه میدهند
سیمانتک ادعا میکند فعالیت گروه بوکیه در سال ۲۰۱۷ متوقف شد. چند ماه بعد، دولت آمریکا سه عضو از گروه را متهم شناخته شد. اگرچه فعالیت این گروه خطرناک متوقف شده بود، ابزارهای آنها حداقل تا یک سال بعد در ترکیب با ابزارهای دیگر بهوسیلهی گروههای هکری استفاده میشد.
گروه شادو براکرز در آوریل۲۰۱۷ ابزارهای NSA را فاش کرد. از آن زمان، گروههای متعددی از ابزارها استفاده کردند که حتی تأثیرگذاری چند برابر داشتند. سیمانتک اعتقاد دارد گروه بوکیه پیش از افشاسازی رسانهای، به همهی ابزارهای NSA دسترسی نداشته است.
سازمانهای دولتی و رسمی با مطالعهی حملههای هکری و بهرهبرداری از ابزارهای آنها حقیقت مهمی را نشان میدهند. میتوان نتیجه گرفت ایجاد در پشتی برای سازمانهای دولتی هم خطرهای امنیتی زیادی برای کاربران گوناگون دارد. درواقع، انواع هکرها روزی به همین ابزارها دسترسی پیدا خواهند کرد و حملاتی شاید شدیدتر با استفاده از آنها ترتیب میدهند.
بهدلیل استفادهی NSA از ابزارهای هک و جاسوسی، اکنون گروههای هکری بزرگ و خطرناک در جهان به برخی از پیچیدهترین و باکیفیتترین ابزارهای نفوذ دسترسی دارند؛ ابزارهایی که تا سالها میتواند امنیت میلیونها کاربر را بهخطر بیندازد.