Verschillende tools die bij de Amerikaanse geheime dienst NSA werden gestolen en eind 2016 en in 2017 online verschenen zijn al begin 2016 door een andere partij voor cyberspionage toegepast. Het gaat onder andere om een zerodaylek in Windows dat Microsoft in maart van dit jaar patchte.
Dat meldt Symantec in een blogpost. In augustus 2016 en begin 2017 publiceerde een groep die zich Shadow Brokers noemt verschillende tools en exploits van de NSA. Deze exploits werden onder andere voor de verspreiding van de WannaCry-ransomware gebruikt. Symantec heeft aanwijzingen gevonden dat de gelekte NSA-tools al een jaar voor het online verschijnen door een groep aanvallers genaamd APT3 (ook bekend als Buckeye en Gothic Panda) werd gebruikt.
Het gaat hierbij om varianten van de tools die door Shadow Brokers werden vrijgegeven, wat een andere herkomst suggereert. Zo gebruikte APT3 de DoublePulsar-backdoor van de NSA al in maart 2016. Deze backdoor werd pas in april 2017 door Shadow Brokers openbaar gemaakt. Om de backdoor bij slachtoffers te installeren maakten de aanvallers gebruik van twee kwetsbaarheden in Windows. Het eerste beveiligingslek werd in maart 2017 door Microsoft gepatcht. De tweede kwetsbaarheid werd in september 2018 door Symantec aan Microsoft gemeld, waarna er in maart van dit jaar een update voor verscheen.
Hoe APT3 de NSA-tools wist te verkrijgen voordat die door Shadow Brokers openbaar werden gemaakt is nog onbekend, aldus Symantec. De tools werden onder andere tegen doelwitten in België en Luxemburg gebruikt. APT3 zou in 2017 zijn gestopt met het uitvoeren van aanvallen, maar de tools die het gebruikte werden nog tot eind 2018 bij aanvallen waargenomen. Door wie is echter onbekend.
Deze posting is gelocked. Reageren is niet meer mogelijk.