به گزارش گرداب، شرکت امنیتی چک پوینت (Check Point Software) به تازگی اعلام کرد، گروه هکری «APT3»، وابسته به دولت چین، حتی پیش از فاش شدن بدافزارها و ابزارهای جاسوسی «آژانس امنیت ملی آمریکا» (NSA)، توسط گروه کارگزاران سایه (Shadow Brokers) در سال‌های 2016 و 2017، به آن‌ها به دسترسی داشته است. این مجموعه ابزارهای گردآوری شده «UPSynergy» نام دارند.

چک پوینت ادعا می‌کند تحقیقات نشان می‌دهد APT3 بر پایه دسترسی‌های خود به ترافیک شبکه آژانس امنیت ملی، یک نسخه‌ی سفارشی‌سازی شده از بدافزار گروه اکویشن (Equation) را بازسازی کرده‌اند. کاربرد این بدافزار به گونه‌ای بود که به منظور هدف قرار دادن سیستم‌عامل ویندوز، به آسیب‌پذیری روز صفرم (Zero-day) بهره می‌برد.

چک پوینت بر پایه تحقیقات سیمنتک (Symantec) که در اوایل 2019 منتشر شده بود، گزارش خود را ارائه داد. در آن زمان سیمنتک، چگونگی استفاده APT3 از یکی از ابزارهای آژانس امنیت ملی را حتی پیش از اقدام کارگزاران سایه، شرح داده بود.

شرکت‌های چک پوینت، سیمنتک، ریکوردد فیوچر (Recorded Future) و «Intrusion Truth»، معتقدند که APT3 توسط وزارت امنیت داخلی چین حمایت می‌شود. با وجود این هنوز مشخص نیست که هکرهای این گروه خود بدافزارهای مورد استفاده را توسعه داده یا آن را جایی تهیه کرده‌اند.

ابزار موردبررسی سیمنتک، «بماستور» (Bemstour) نام گرفته است. این بدافزار یکی از تجهیزات مورد استفاده اکویشن به حساب می‌آید که با «اترنال رومنس» (EternalRomance exploit) فاش شده توسط کارگزاران سایه در ارتباط است.

چک پوینت گفت:

 گروه APT3 در تلاش بود تا ابزار مذکور را به گونه‌ای ویرایش کند که نسخه‌های بیشتری از ویندوز را هدف قرار دهد. مشابه عمان اقدامی که اکویشن سعی داشت با EternalSynergy انجام دهد. برای رسیدن به این هدف به آسیب‌پذیری روز صفرمی نیاز بود که امکان نشت اطلاعات کرنل را فراهم آورد. 

از آنجایی که APT3 از یک روز صفرم برای نفوذ به سیستم‌ها استفاده کرده بود، دسترسی مستقیمی به هیچ‌یک از ابزارهای آژانس امنیت ملی نداشت. داده‌های پروتکل SMB که در طول اجرای ابزار مذکور از آن‌ها استفاده می‌شد، به جای تولید توسط یک کتابخانه شخص ثالث، به صورت دستی توسط توسعه‌دهندگان ایجاد می‌گردید.

از آنجایی که بسیاری از بسته‌های پروتکل مذکور دارای اطلاعات هارد کد (Hard-code) و به ظاهر دلخواه شده بود، می‌توان تصور کرد که هکرها در تلاش بودند بر پایه ترافیک ثبت شده‌ی قبلی اقدام به نفوذ بکنند.

روی ترافیک شبکه آژانس امنیت ملی به واسطه دستگاهی تحت کنترل APT3 نظارت انجام می‌گرفت. به این معنی که احتمالاً ابزار مذکور توسط آژانس امنیت ملی هدف قرار داده شده و APT3 روی آن نظارت می‌کرد.

چک پوینت اعلام کرد هر دو گروه APT3 و NSA در زمینه پروتکل SMB یک رقابت تسلیحاتی را آغاز کرده‌اند؛ اما نمی‌توان با اطمینان اثبات کرد که APT3 به ابزارهای جاسوسی نهاد آمریکایی دسترسی پیدا کرده است.