Un groupe de hackers chinois répondant au nom de Buckeye aurait exploité l’un des logiciels malveillants de la National Security Agency (NSA) un an avant l’affaire des Shadow Brokers. Bien que l’outil d’exécution utilisé soit différent de celui des Américains.

La réputation de la National Security Agency (NSA), célèbre agence de renseignements américaine, prend un nouveau coup. Fin 2017, le groupe de hackers Shadow Brokers levait le voile sur plusieurs outils d’espionnage appartenant à l’Equation Group, une unité de pirates informatiques liée à la structure américaine. La faille de sécurité Eternal Blue, dévoilée par Shadow Brokers, a dans la foulée été exploitée dans le cadre de la plus grande opération de ransomware jamais observée sur Internet, WannaCry.

Parmi les autres logiciels malveillants sur lesquels la NSA s’est appuyée, une certaine porte dérobée surnommée DoublePulsar. Et au regard du dernier rapport publié par la société de cybersécurité Symantec, l’agence d’outre-Atlantique semble s’être une nouvelle fois fait dépasser par des hackers concurrents. Car une division d’attaquants chinoise aux noms multiples (Buckeye, APT3 ou Gothic Panda), active depuis 2009, aurait tout bonnement tiré profit de DoublePulsar… un an avant les révélations de Shadow Brokers.

Un usage qui diffère

Mais comme le note Symantec, les preuves récoltées au cours de ses recherches mettent en exergue une autre variante de DoublePulsar, déployée non pas à l’aide du framework FuzzBunch, utilisé par l’Equation Group, mais grâce à leur outil personnalisé Bemstour, qui s’appuyait sur deux failles zero-day Windows (CVE-2019-0703 et CVE-2017-0143, depuis corrigées) pour exécuter du code à distance sur le noyau des ordinateurs ciblés.

Crédit phot : Denis De Mesmaeker via Flickr.

À la différence de la version américaine, la porte dérobée chinoise visait des versions plus récentes de Windows (Windows 8.1 et Windows Server 2012 R2). Le virus à l’époque mis en place par Buckeye, soupçonné par la suite de travailler pour le compte du ministère de la sécurité d’État chinois, n’a cependant pas été exploité de la même manière. Le groupe de hackers s’en est en effet servi pour exécuter des commandes shell créant de nouveaux comptes utilisateurs.

Buckeye, la fin d’un périple

Symantec tient cependant à signaler la présence répétée de ce malware lors d’attaques menées contre des organisations basées en Belgique, au Luxembourg, au Vietnam, à Hong Kong et aux Philippines, pour vol d’informations. Buckeye, de son côté, aurait cessé ses activités mi-2017, avant que les trois membres du groupe fassent l’objet d’une arrestation par la police américaine, à la fin de cette même année.

Si, depuis, les entreprises de cybersécurité ont été en mesure de détecter les infections DoublePulsar, sa variante chinoise et l’outil Bemstour ont du sévir jusqu’en septembre 2018. Mais un mystère demeure : comment Buckeye a mis la main sur ce virus pourtant détenu par une unité de la réputée NSA ? À cette question, plusieurs hypothèses : les pirates chinois auraient accédé au logiciel via un serveur d’Equation Group mal ou non sécurisé, bien qu’une taupe au sein de ce dernier aurait aussi pu les aider dans leur projet, avant de développer leur propre outil d’exploitation maison.

Partager sur les réseaux sociaux