Experti sa nevedia zhodnúť, ako sa k nim Čína dostala.
Spoločnosti Symantec sa podarilo odhaliť tri útoky z roku 2016, pri ktorých boli použité exploity a nástroje známej skupiny Equation Group. Tieto prípady dokazujú, že čínski hekeri zo skupiny Buckeye mali prístup k spomenutým nástrojom ešte skôr, ako ich skupina Shadow Brokers na prelome rokov 2016 a 2017 zverejnila na internete.
Útoky sa uskutočnili koncom marca 2016 v čase, keď sa skupina sústredila na útoky na vzdelávacie zariadenia v Hongkongu a Belgicku. Hekeri pri nich použili nástroj Bemstour, ktorý využíval dve zraniteľnosti nultého dňa na stiahnutie backdooru DoublePulsar.
Jedna z týchto zraniteľností sa neskôr spolu s DoubePulsar objavila vo zverejnenom balíku nástrojov skupiny Equation Group. Práve Equation Group má byť podľa viacerých indícií hekerskou jednotkou americkej Národnej bezpečnostnej agentúry (NSA). Nástroje z tohto balíka neskôr využívali aj ruské a severokórejské jednotky.
Nové zistenia však nechávajú veľa nezodpovedaných otázok.
Analytici sa v prvom rade nevedia zhodnúť na tom, ako sa k týmto nástrojom hekeri dostali. Najpravdepodobnejším scenárom je, že skupina ich vytvorila na základe pozorovania útoku, ktorý NSA podnikla voči ich počítačom. Do úvahy tiež pripadá možnosť, že Číňanom sa podarilo infiltrovať servery NSA, prípadne, že im nástroje poskytla samotná NSA.
Podľa New York Times tento prípad dokazuje len to, ako „pretrvávajúci kybernetický konflikt vytvára digitálny divoký západ s minimom pravidiel a istôt, a aké problémy majú Spojené štáty udržať si prehľad v malvéroch, ktoré používajú na preniknutie do zahraničných sietí a protivníkovej infraštruktúry“.
Otázkou tiež zostáva, kto používal nástroj Bemstour po tom, ako skupina v polovici roka 2017 ukončila svoju činnosť. Symantec uvádza, že rôzne verzie Bemstouru, ktoré využívajú nové zraniteľnosti nultého dňa, sa objavujú nepretržite od roku 2016. Posledná vzorka bola skompilovaná 23. marca 2019.
Je teda možné, že skupina Buckeye, známa aj ako APT3 či Gothic Panda, naďalej pokračuje vo svojich aktivitách. Iným vysvetlením je zverejnenie nástroja na internete alebo jeho poskytnutie inej skupine.
(VK)