Symantec vient de révéler l’exploitation d’une vulnérabilité zero-day de Windows inconnue jusqu’alors. Signalé en septembre 2018 à Microsoft, ce dernier l’a corrigé en mars 2019. Selon l’éditeur, ce serait le groupe de pirates Buckeye qui aurait réussi à exécuter le code du noyau Windows a distance en tirant parti de cette faille. Symantec explique que cela a été possible grâce à des outils développés par le groupe Equation, entité considérée comme une division de piratage de la NSA.

Flashback en mai 2017. Des outils de ce fameux groupe fuitent et son mis en vente sur le darkweb puis rendus public par les Shadow Brokers. Rapt considéré comme l’un des plus important pour le monde de la cybersécurité ces dernières années. « Equation est considéré comme l'un des groupes d'espionnage les plus compétents sur le plan technique et la publication de ses outils a eu un impact majeur, de nombreux attaquants se précipitant pour déployer le malware et les exploits révélés », indique Symantec. « L'un de ces outils, l'exploit EternalBlue, a eu un effet dévastateur lors de la diffusion du ransomware WannaCry », lancé quelques jours avant l’annonce des Shadow Brokers.

Comment Buckeye a accédé aux outils d'Equation ?

Cependant, Symantec a maintenant trouvé la preuve que le groupe de cyber espionnage Buckeye (alias APT3, Gothic Panda) a commencé à utiliser les outils du groupe Equation dans des attaques au moins un an avant la fuite des Shadow Brokers. À partir de mars 2016, Buckeye a commencé à utiliser une variante de DoublePulsar (Backdoor.Doublepulsar), une porte dérobée qui a ensuite été lancée par les Shadow Brokers en 2017. DoublePulsar a été diffusé à l'aide d'un outil d'exploitation personnalisé (Trojan.Bemstour) spécialement conçu. Ce dernier exploite deux vulnérabilités Windows afin d'exécuter le code du noyau à distance sur des ordinateurs ciblés et aspirer des données. L'une des vulnérabilités est une vulnérabilité Windows zero-day (CVE-2019-0703) découverte par Symantec. La deuxième vulnérabilité Windows (CVE-2017-0143) a été corrigée en mars 2017.

L’éditeur de cybersécurité ne sait toujours pas comment Buckeye a obtenu les outils d'Equation au moins un an avant la fuite de Shadow Brokers. Le groupe a disparu à la mi-2017 et trois membres présumés ont été inculpés aux États-Unis en novembre 2017. Cependant, bien que l'activité impliquant des outils Buckeye connus ait cessé mi-2017, l'outil d'exploitation Bemstour et la variante DoublePulsar utilisés ont continué d’être utilisés au moins jusqu'en septembre 2018 en conjonction avec différents malwares.