DoublePulsar

DoublePulsar — це інструмент імплантації бекдора, розроблений Equation Group, яку пов'язують з Агентство національної безпеки США (NSA), який був оприлюднений The Shadow Brokers(інші мови) на початку 2017 року^[1]. Інструмент заразив понад 200 000 комп'ютерів Microsoft Windows лише за кілька тижнів^[2]^[3]^[1]^[4]^[5] і використовувався разом з EternalBlue під час атаки програм-вимагачів WannaCry у травні 2017 року^[6]^[7]^[8]. Варіант DoublePulsar вперше був помічений у дикій природі в березні 2016 року, як виявила компанія Symantec^[9].

Шон Діллон, старший аналітик компанії RiskSense Inc., першим дослідив DoublePulsar^[10]^[11]. Він сказав, що експлойти NSA «в 10 разів гірші», ніж помилка безпеки Heartbleed, і використовують DoublePulsar як основне корисне навантаження. DoublePulsar працює в режимі ядра, що надає кіберзлочинцям високий рівень контролю над комп'ютерною системою^[3]. Після встановлення він використовує три команди: ping, kill(інші мови) і exec(інші мови), останні з яких можна використовувати для завантаження зловмисного програмного забезпечення в систему^[10].

Примітки

↑ ^а ^б DoublePulsar malware spreading rapidly in the wild following Shadow Brokers dump. 25 квітня 2017.
↑ Sterling, Bruce. Double Pulsar NSA leaked hacks in the wild. Wired.
↑ ^а ^б Seriously, Beware the 'Shadow Brokers'. Bloomberg. 4 травня 2017 — через www.bloomberg.com.
↑ Wana Decrypt0r Ransomware Using NSA Exploit Leaked by Shadow Brokers Is on a Rampage.
↑ >10,000 Windows computers may be infected by advanced NSA backdoor. 21 квітня 2017.
↑ Cameron, Dell (13 травня 2017). Today's Massive Ransomware Attack Was Mostly Preventable; Here's How To Avoid It.
↑ Fox-Brewster, Thomas. How One Simple Trick Just Put Out That Huge Ransomware Fire. Forbes.
↑ Player 3 Has Entered the Game: Say Hello to 'WannaCry'. blog.talosintelligence.com. 12 травня 2017. Процитовано 15 травня 2017.
↑ Stolen NSA hacking tools were used in the wild 14 months before Shadow Brokers leak. arstechnica.com. 7 травня 2019. Процитовано 7 травня 2019.
↑ ^а ^б DoublePulsar Initial SMB Backdoor Ring 0 Shellcode Analysis. zerosum0x0.blogspot.com. 21 квітня 2017. Процитовано 16 травня 2017.
↑ NSA's DoublePulsar Kernel Exploit In Use Internet-Wide. threatpost.com. 24 квітня 2017. Процитовано 16 травня 2017.

[scmagazine-1] а ^б DoublePulsar malware spreading rapidly in the wild following Shadow Brokers dump. 25 квітня 2017.

[2] Sterling, Bruce. Double Pulsar NSA leaked hacks in the wild. Wired.

[usbguy-3] а ^б Seriously, Beware the 'Shadow Brokers'. Bloomberg. 4 травня 2017 — через www.bloomberg.com.

[4] Wana Decrypt0r Ransomware Using NSA Exploit Leaked by Shadow Brokers Is on a Rampage.

[5] >10,000 Windows computers may be infected by advanced NSA backdoor. 21 квітня 2017.

[6] Cameron, Dell (13 травня 2017). Today's Massive Ransomware Attack Was Mostly Preventable; Here's How To Avoid It.

[7] Fox-Brewster, Thomas. How One Simple Trick Just Put Out That Huge Ransomware Fire. Forbes.

[8] Player 3 Has Entered the Game: Say Hello to 'WannaCry'. blog.talosintelligence.com. 12 травня 2017. Процитовано 15 травня 2017.

[9] Stolen NSA hacking tools were used in the wild 14 months before Shadow Brokers leak. arstechnica.com. 7 травня 2019. Процитовано 7 травня 2019.

[techanalysis-10] а ^б DoublePulsar Initial SMB Backdoor Ring 0 Shellcode Analysis. zerosum0x0.blogspot.com. 21 квітня 2017. Процитовано 16 травня 2017.

[11] NSA's DoublePulsar Kernel Exploit In Use Internet-Wide. threatpost.com. 24 квітня 2017. Процитовано 16 травня 2017.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]