År 2017 var inte ett bra år för den amerikanska säkerhetsmyndigheten NSA. I april 2017 avslöjades det att flera av deras vassaste verktyg, eller vapen om man så vill, för dataintrång och spionage läckt ut i det vilda och hamnat i händerna på civila hackergrupper. Verktygen publicerades offentligt av gruppen Shadow Brokers och det direkta resultatet av läckan blev de förödande utbrotten av maskarna WannaCry och NotPetya som var och en orsakade skador för många miljarder kronor bland företag och organisationer världen över.

Nu kommer nya uppgifter från it-säkerhetsföretaget Symantec som visar att NSA:s verktyg i praktiken användes i angrepp utförda av en civil hackergrupp 14 månader innan Shadow Brokers publicering. Det nya avslöjandet rör inte hela paketet av NSA-verktyg, utan två av dem – bakdörren DoublePulsar och en attack mot en sårbarhet i Windows, med koden CVE-2017-0143, som NSA använde för att öppna systemen, skriver Ars Technica.

Intrångsverktyget är ett av flera som ingick i den beryktade Eternal-serien, med verktyg som Eternal Romance, Eternal Synergy med flera, vilka fortfarande används flitigt, eller varianter av dem, i olika angrepp av såväl civila som statsfinansierade grupper.

TechWorld Summit 4 juni 2019, nätverka med 300 IT-proffs och få samtidigt en heltäckande överblick av den senaste tekniken.

Symantec kan inte svara på hur den nu aktuella hackergruppen kom över NSA:s verktyg. Denna grupp går under diverse namn som APT3, Gothic Panda, UPS Team och TG-0110, men Symantec benämner dem Buckeye. Om gruppen verkligen är civil kan också diskuteras, inte minst eftersom gränserna mellan grupper och olika typer av grupper är minst sagt flytande.

Symantecs starkaste teori är att gruppen kan ha bakåt-utvecklat koden med hjälp av ”tekniska artefakter” som de kunnat fånga upp från NSA:s egna angrepp. Mindre troligt, spekulerar Symantec, är att gruppen lyckats stjäla verktygen från illa skyddade NSA-servrar eller via en läcka inifrån NSA. Just det begränsade antalet verktyg, jämfört med det paket som Shadow Brokers publicerade i april 2017, tyder på att Symantec kan ha rätt i sina gissningar.

Symantecs avslöjande är ännu en spik i kistan för NSAs något hybriska mantra NOBUS – nobody but us – ett sätt att säga att världen inte behöver vara orolig för NSA:s farliga vapen då dessa är i tryggt förvar hos den amerikanska myndigheten och aldrig kommer att hamna i orätta händer.

Läs också:
Säkerhetsuppdateringar ny attackvektor för statsfinansierade hackare
NSA:s supervapen för riktade attacker – så funkar man-på-sidan-attacker