Symantec identifica uso de ferramentas do Equation em ataques antes delas terem vazado, anos atrás

Em 2017, o vazamento das ferramentas do grupo Equation (supostamente ligado à agência de segurança nacional dos Estados Unidos, a NSA) por outro grupo misterioso denominado Shadow Brokers foi uma das descobertas mais importantes do mercado de segurança recente. O Equation é reconhecido pelas técnicas avançadas de espionagem, e o vazamento das ferramentas utilizada por eles teve um grande impacto, com muitos hackers correndo para implantar o malware e as brechas divulgadas. Uma das ferramentas, a EternalBlue, foi usada no ataque WannaCry em maio de 2017, que teve efeitos devastadores.

Entretanto, a Symantec encontrou evidências de que o grupo de espionagem cibernética Buckeye, organização supostamente ligada ao Ministério de Segurança da China (também conhecido como APT3, Gothic Panda), começou a usar as ferramentas do Equation em ataques antes mesmo delas terem vazado. Em março de 2016, o Buckeye começou a usar o DoublePulsar (Backdoor.Doublepulsar), um backdoor que só foi divulgado pelo Shadow Brokers no ano seguinte. O DoublePulsar foi entregue às vítimas por meio de uma ferramenta de exploração customizada que foi feita especificamente para instalar o DoublePulsar.

O malware Bemstour explora duas vulnerabilidades do Windows para conseguir acesso remoto ao código de execução do núcleo dos computadores-alvo.  Uma delas é a vulnerabilidade dia zero do Windows (CVE-2019-0703), que foi descoberta pela Symantec. O Segundo achado (CVE-2017-0143)  foi em março de 2017. As vulnerabilidades de dia zero permitem o vazamento de informações e podem ser explorada em conjunto com outras brechas para atingir remotamente o código de execução do núcleo de computadores. A Symantec reportou o problema para a Microsoft em setembro de 2019, e foi corrigido em uma atualização de março deste ano.

Ainda não é certo como o grupo Equation conseguiu as ferramentas um ano antes do vazamento do Shadow Brokers. O Buckeye desapareceu em meados de 2017, e três supostos membros do grupo foram indiciados nos Estados Unidos em novembro do mesmo ano. Entretanto, a exploração por meio do Bemstour e a variante DoublePulsar usado por eles continuaram em operação até setembro do ano passado.

Histórico de ataques
O Buckeye está ativo desde 2009, quando começou ataques de espionagem principalmente contra empresas americanas. O grupo possui um recorde de uso de vulnerabilidades dia zero, incluindo CVE-2010-3962 como parte de uma campanha de ataque de 2010 e CVE-2014-1776 em 2014. Embora outros ataques dia zero tenham sido reportados, eles não foram confirmados pela Symantec. Todos esses ataques conhecidos, ou suspeitos, são de vulnerabilidades no Internet Explorer e Flash.

Linha do tempo dos ataques
Em agosto de 2016, um grupo denominado Shadow Brokers começou a divulgar ferramentas atribuídas ao Equation. Inicialmente liberaram amostras das informações que tinham, oferecendo o pacote completo para quem pagasse mais. Com o passar do tempo foram divulgando mais ferramentas, até abril de 2017, quando divulgaram tudo, inclusive o backdoor DoublePulsar, a estrutura FuzzBunch, e as ferramentas de exploração EternalBlue, EternalSynergy e EternalRomance.

Mas o Buckeye já estava utilizando alguma das ferramentas vazadas um ano antes, sendo a primeira evidência encontrada datando de 31 de março de 2016, em um ataque em Hong Kong. Nesta ação, o Bemstour foi entregue às vítimas por meio de um malware conhecido do Buckeye, o Backdoor.Pirpi. Uma hora depois, foi usado contra uma instituição de ensino na Bélgica. Em junho de 2017, a ferramenta foi usada novamente em um ataque a uma empresa em Luxemburgo. Entre junho e setembro do mesmo ano foi usada novamente em ataques a alvos nas Filipinas e no Vietnã.

O ataque mais recente foi identificado pela Symantec em 23 de março deste ano, 11 dias depois da atualização da Microsoft para a vulnerabilidade de dia zero ter sido lançada. O objetivo de todos os ataques foi o mesmo, presença na rede das vítimas provavelmente para roubar informações.

Bemstour
O Bemstour explora duas vulnerabilidades do Windows para atingir o código de execução do núcleo de computadores alvo. A vulnerabilidade de dia zero CVE-2019-0703 encontrada pela Symantec ocorre por conta da maneira com que o servidor SMB do Windows lida com algumas demandas, e permite o vazamento de informações. A segunda,CVE-2017-0143, contém duas vulnerabilidades juntas que permitem aos atacantes total controle do código de execução fonte para entregar o malware para o computador alvo.

Quando o Bemstour foi usado pela primeira vez em 2016, as duas vulnerabilidades eram dia zero. Mesmo a Microsoft tendo liberado atualização em março de 2017 para a CVE-2017-0143, foi utilizada por outras duas ferramentas de exploração – EternalRomance e EternalSynergy, que foram divulgadas pelo Shadow Brokers um mês depois.

DoublePulsar
A variante DoublePulsar usada nos primeiros ataques do Buckeye era diferente da que foi vazada pelo Shadow Brokers. Aparentemente contém códigos para alvos com novas versões do Windows, e inclui ainda uma nova camada para se ofuscar.

Os hackers nunca utilizaram a infraestrutura FuzzBunch (desenvolvido pelo Equation para gerenciar o DoublePulsar e outras ferramentas) nos ataques, o que sugere que o Buckeye teve acesso a um número limitado de ferramentas do grupo Equation

Questões não respondidas
Existem muitas possibilidades sobre como o Buckeye teve acesso às ferramentas do grupo Equation antes do vazamento das informações. Baseado no período dos ataques e as características e como as ferramentas foram construídas, uma possibilidade é que o Buckeye criou suas próprias versões com artefatos que encontrou em tráfego de rede. Outras opções seriam acesso por meio de uma porta com pouca segurança em um servidor do Equation ou por um integrante do grupo.