美国留学

2016年8月，一个自称“影子经纪人”的黑客组织在互联网上拍卖美国国家安全局（NSA）旗下网络攻击组织“方程式组织”的资产。开发出来的攻击工具在当时引起了轩然大波。不过，安全行业赛门铁克近日发现新证据，指出网络间谍组织Buckeye早在2016年3月就开始使用相关攻击程序。

从时间上看，Shadow Broker在2017年4月发布了包括DoublePulsar、FuzzBunch、EternalBlue和EternalSynergy在内的攻击工具，次月韩国黑客利用DoublePulsar和EternalBlue传播造成重大灾难的WannaCry勒索软件，但Buckeye已经发起了攻击于2016 年3 月与DoublePulsar 一起推出。

到目前为止，影子经纪人的身份仍然未知。推测其来自俄罗斯，其拥有的攻击工具是从国家安全局承包商处获得的。至于Buckeye，也称为APT3或Gothic Panda，是来自中国的网络间谍组织。该团队从2009年开始运作，直到2017年中被美国打压。

研究人员指出，2016年3月，Buckeye为后门程序DoublePulsar设计了专用攻击工具Bemstour，利用两个微软零日漏洞CVE-2017-0143和CVE-2019-0703，并利用其攻击香港和比利时，前者于2017年3月修补，后者直到今年才修补。

赛门铁克不确定Buckeye是如何获得DoublePulsar的，但考虑到Buckeye没有使用影子经纪人泄露的其他攻击程序，研究人员推测Buckeye可能发现了NSA在中国系统上植入的DoublePulsar。秉承“草船借箭”的精神，DoublePulsar被重新打造，看起来不太像被偷了或者被买了。

本文转载：iThome