Čínské kybernetické útoky podezřelé na americké tajné agenty
Podle Black Lotus Labs, divize výzkumu hrozeb společnosti Lumen Technologies, hackeři zneužili zranitelnosti nultého dne v softwaru Versa Director – softwaru široce používaného poskytovateli internetových služeb k zabezpečení síťových operací – a ohrozili několik internetových společností ve Spojených státech (USA) i v zahraničí.
Lumen má podezření, že útoky mohou pocházet z Číny.
Tento admin je tak kompromitován, Otázkou je, zda byly účty hacknuty, nebo měli Číňané přístup zasvěcení?)
Čínští hackeři pronikli do amerických vládních a vojenských účtů https://t.co/bbL3zRKMdi
— Pog (@OSINT220) 27. srpna 2024
Lumen poznamenal:
„Na základě známých a pozorovaných taktik a technik, Black Lotus Labs připisuje zero-day využití CVE-2024-39717 a provozní využití webového shellu VersaMem s mírnou důvěrou čínským státem sponzorovaným hrozbám známým jako Volt Typhoon a Bronze. Silueta."
Výzkumníci z Lumenu identifikovali čtyři americké oběti a jednu zahraniční oběť, přičemž mezi cíle údajně patřil vládní a vojenský personál pracující v utajení, stejně jako další skupiny strategického zájmu Číny.
Výzkumníci varují, že exploit zůstává aktivní proti neopraveným systémům Versa Director.
Brandon Wales, bývalý výkonný ředitel americké Agentury pro kybernetickou bezpečnost a bezpečnost (CISA), zdůraznil rostoucí sofistikovanost čínských kybernetických útoků a vyzval ke zvýšení investic do kybernetické bezpečnosti.
CISA uvádí, že čínští hackeři a další infiltrovali americké nástroje a kritické systémy po dobu až 5 let, přičemž si udrželi přístup.
To je alarmující a může to mít vážné následky. Strach, že to nakonec zkolabuje. pic.twitter.com/xLXqm3OeDj
— Dagnum P.I. (@Dagnum_PI) 27. srpna 2024
Vyjádřil:
„Čína se nadále zaměřuje na kritickou infrastrukturu USA. Odhalení snah o Volt Typhoon očividně vedlo ke změnám v taktice, obchodu, který používají, ale víme, že každý den pokračují ve snaze kompromitovat kritickou infrastrukturu USA.
Black Lotus Labs zdůraznili závažnost zranitelnosti a vyzvali organizace používající Versa Director k upgradu na verzi 22.1.4 nebo novější.
Čína obvinění odmítá
Čína tato obvinění popřela a uvedla, že „Volt Typhoon“ je ve skutečnosti kyberzločinecká skupina ransomwaru, která se označuje jako „Dark Power“ a není sponzorována žádným státem ani regionem.
Toto popření učinil mluvčí velvyslanectví Liu Pengyu a zopakoval to Lin Jian, mluvčí čínského ministerstva zahraničních věcí, v komunikaci s Global Times dne 15. dubna.
Podle zjištění Volt Typhoon využil specializovaný webový shell známý jako „VersaMem“ k zachycení přihlašovacích údajů uživatele.
Přehled procesu využívání Versa Director a funkčnosti webového shellu VersaMem
VersaMem je sofistikovaný škodlivý software, který se připojuje k různým procesům a manipuluje s kódem Java zranitelných serverů.
Funguje výhradně v paměti, takže je obzvláště obtížné jej detekovat.
Servery Versa Director zaměřené na Exploit
Využití specificky zaměřených serverů Versa Director, které běžně používají poskytovatelé internetu a spravovaných služeb, z nich dělá hlavní cíle pro aktéry hrozeb, kteří chtějí proniknout do systémů správy podnikových sítí.
Versa Networks potvrdila zranitelnost v pondělí a poznamenala, že byla zneužita „alespoň v jednom známém případě“.
Podle Lumen byl webový shell VersaMem poprvé detekován na VirusTotal dne 7. června, krátce před prvním využitím.
Snímek obrazovky z VirusTotal pro VersaTest.png (SHA256: 4bcedac20a75e8f8833f4725adfc87577c32990c3783bf6c743f14599a176c37) zobrazující 0 detekcí
Malware, zkompilovaný pomocí Apache Maven, obsahoval v kódu komentáře v čínských znacích a od poloviny srpna zůstal nedetekován antivirovým softwarem.