នៅក្នុងការទម្លាយដ៏គួរឱ្យភ្ញាក់ផ្អើលមួយ វាបង្ហាញថាក្រុមអ្នកវាយប្រហារដែលគេជឿថាត្រូវឧបត្ថម្ភដោយចារកម្មស៊ើបការណ៍សម្ងាត់របស់ចិនប្រើប្រាស់ការកេងចំណេញ zero-day មួយចំនួនដែលមានទំនាក់ទំនងទៅនឹងក្រុមEquation របស់ NSA ជិតមួយឆ្នាំមុនពេលក្រុម Shadow Brokers លេចធ្លាយ។
យោងតាមរបាយការណ៍ថ្មីមួយដែលត្រូវចេញផ្សាយដោយក្រុមហ៊ុន Symantec ដែលជាក្រុមមានទំនាក់ទំនងជាមួយចិនដែលហៅថា Buckeye ប្រើប្រាស់ឧបករណ៍លួចទាក់ទងនឹង NSA ចាប់តាំងពីខែមីនា ឆ្នាំ២០១៦ ខណៈដែល Shadow Brokers បោះចោលឧបករណ៍មួយចំនួននៅលើអ៊ីនធឺរណិតក្នុងខែមេសា ឆ្នាំ២០១៧។
វាសកម្មតាំងពីយ៉ាងហោចណាស់ក្នុងឆ្នាំ២០០៩ Buckeye ដែលត្រូវគេស្គាល់ផងដែរថាជា APT៣, Gothic Panda, UPS Team និង TG-០១១០ គឺជាអ្នកទទួលខុសត្រូវចំពោះការវាយប្រហារចារកម្មដ៏ធំជាចម្បងប្រឆាំងនឹងការការពារនិងអង្គការសំខាន់ៗនៅសហរដ្ឋអាមេរិក។
ទោះបីជា Symantec មិនបញ្ជាក់ច្បាស់លាស់ពីឈ្មោះប្រទេសចិននៅក្នុងរបាយការណ៍របស់ខ្លួនក៏ដោយក្រុមអ្នកស្រាវជ្រាវដែលមានកម្រិតនៃទំនុកចិត្តខ្ពស់សន្មតពីមុនមកថាក្រុមអ្នកវាយប្រហារ Buckeye ថាជាក្រុមហ៊ុនសន្តិសុខព័ត៌មានឈ្មោះថា Boyusec ដែលកំពុងធ្វើការក្នុងនាមជាក្រសួងសន្តិសុខរដ្ឋរបស់ចិន។
ការរកឃើញចុងក្រោយបំផុតរបស់ Symantec ផ្តល់នូវភ័ស្តុតាងលើកដំបូងដែលថាពួកអ្នកវាយប្រហារដែលឧបត្ថម្ភដោយរដ្ឋចិនគ្រប់គ្រងឧបករណ៍វាយប្រហារមួយចំនួនដូចជា EternalRomance, EternalSynergy និង DoublePulsar មួយឆ្នាំមុនពេលត្រូវទម្លាក់ដោយ Shadow Brokers ដែលជាក្រុមអាថ៌កំបាំងមួយដែលនៅតែមិនស្គាល់អត្តសញ្ញាណ។
យោងតាមក្រុមអ្នកស្រាវជ្រាវ ក្រុម Buckeye ប្រើឧបករណ៍ទាញយកដោយផ្ទាល់ខ្លួនរបស់ខ្លួនដែលមានឈ្មោះថា Bemstour ដើម្បីបញ្ជូនការចាក់បញ្ចូល backdoor របស់ DoublePulsar ខុសៗគ្នាដើម្បីប្រមូលព័ត៌មានសម្ងាត់និងដំណើរការកូដព្យាបាទនៅលើកុំព្យូទ័រគោលដៅ។
ឧបករណ៍ Benstour ត្រូវរចនាឡើងដើម្បីទាញយកភាពងាយរងគ្រោះ two then-zero-day (CVE-២០១៩-០៧០៣ និង CVE-២០១៧-០១៤៣) នៅក្នុង Windows ដើម្បីឱ្យការប្រតិបត្តិកូដខឺណែលពីចម្ងាយនៅលើកុំព្យូទ័រគោលដៅ។
ក្រុមហ៊ុន Microsoft ដោះស្រាយភាពងាយរងគ្រោះ CVE-២០១៧-០១៤៣ នៅក្នុងខែមីនា ឆ្នាំ២០១៧ បន្ទាប់ពីវាត្រូវរកឃើញថាត្រូវប្រើប្រាស់ដោយការកេងប្រវ័ញ្ច NSA ពីរ (EternalRomance និង EternalSynergy) ដែលត្រូវលេចធ្លាយដោយក្រុម Shadow Brokers ។
កំហុស Windows SMB Server ដែលមិនស្គាល់ពីមុន (CVE-២០១៩-០៧០៣) ត្រូវគេរកឃើញនិងរាយការណ៍ដោយ Symantec ដល់ក្រុមហ៊ុន Microsoft នៅក្នុងខែកញ្ញា ឆ្នាំ២០១៨ និងត្រូវជួសជុលដោយក្រុមហ៊ុនបច្ចេកវិទ្យាយក្សកាលពីខែមុន។
ក្រុមអ្នកស្រាវជ្រាវរកឃើញពួកវាយប្រហារ BuckEye ដោយប្រើការរួមបញ្ចូលគ្នានៃការកេងប្រវ័ញ្ច SMB និង DoublePulsar Backdoor ដើម្បីកំណត់គោលដៅលើក្រុមហ៊ុនទូរគមនាគមន៍ព្រមទាំងវិទ្យាស្ថានស្រាវជ្រាវនិងវិទ្យាស្ថានអប់រំនៅហុងកុង លុចសីមបែល បែលហ្សិក ហ្វីលីពីននិងវៀតណាមចាប់ពីខែមីនា ឆ្នាំ២០១៦ ដល់ខែសីហា ឆ្នាំ២០១៧។
តើពួកអ្នកវាយប្រហារជនជាតិចិនចាប់ឧបករណ៍វាយប្រហារ NSA ដោយរបៀបណា?
ខណៈពេលដែល Symantec មិនដឹងពីរបៀបដែលពួកវាយប្រហារជនជាតិចិនទទួលឧបករណ៍ក្រុម Equation មុនពេល Shadow Brokers លេចធ្លាយនោះ ក្រុមហ៊ុនសន្តិសុខអះអាងថាវាអាចទៅរួចដែលថា Buckeye អាចចាប់យកកូដពីការវាយប្រហាររបស់ NSA ទៅលើកុំព្យូទ័រផ្ទាល់ខ្លួនរបស់ពួកគេហើយបន្ទាប់មកធ្វើការផ្លាស់ប្តូរវិស្វករនិងមេរោគដើម្បីអភិវឌ្ឍកំណែរបស់វាផ្ទាល់នៃឧបករណ៍នោះ។
Symantec និយាយថា “សេណារីយ៉ូដែលមិនគាំទ្រតិចតួចដែលផ្តល់ភស្តុតាងបច្ចេកទេសដែលអាចរករួមមាន Buckeye ដែលទទួលឧបករណ៍ដោយការចូលទៅកាន់ម៉ាស៊ីនបម្រើក្រុម Equation ដែលមិនមានសុវត្ថិភាពឬខ្សោយឬថាសមាជិកបញ្ឆោតរបស់ក្រុម Equation ម្នាក់ឬអ្នកសហការម្នាក់បញ្ចេញឧបករណ៍ទៅឱ្យ Buckeye” ។
Buckeye បង្ហាញខ្លួនដើម្បីបញ្ឈប់ប្រតិបត្តិការរបស់ខ្លួននៅពាក់កណ្តាលឆ្នាំ២០១៧ និងសមាជិកបីនាក់ដែលត្រូវចោទប្រកាន់នៅក្នុងក្រុមនេះត្រូវចោទប្រកាន់នៅក្នុងសហរដ្ឋអាមេរិកនៅខែវិច្ឆិកា ឆ្នាំ២០១៧។ ទោះជាយ៉ាងណាក៏ដោយ សូម្បីតែបន្ទាប់ពីនោះ ឧបករណ៍ Bemstour និង DoublePulsar ដែលត្រូវប្រើដោយ Buckeye នៅតែបន្តប្រើរហូតដល់ចុងឆ្នាំ២០១៨ជាមួយនឹងមេរោគខុសៗគ្នា។
ទោះបីជាវាមិនត្រូវគេស្គាល់ថាអ្នកណាដែលបន្តប្រើឧបករណ៍នេះក៏ដោយ ក្រុមអ្នកស្រាវជ្រាវជឿថាក្រុម Buckeye ប្រហែលជាបញ្ជូនឧបករណ៍ខ្លះរបស់វាទៅក្រុមមួយទៀតឬ “ការបន្តដំណើរការយូរជាងការសន្មត់” ។
បន្ទាប់ពីការលេចធ្លាយរបស់ Shadow Brokers ឧបករណ៍សម្ងាត់ដែលភ្ជាប់ទៅនឹង NSA ត្រូវប្រើប្រាស់ដោយពួកធ្នកវាយប្រហារកូរ៉េខាងជើងនិងភ្នាក់ងារស៊ើបការណ៍រុស្ស៊ីទោះបីជារបាយការណ៍របស់ Symantec បង្ហាញថាមិនមានទំនាក់ទំនងច្បាស់រវាងការទិញឧបករណ៍ Buckeye និងការលេចធ្លាយរបស់ Shadow Brokers ក៏ដោយ។
