Sospechan de ciberataques chinos contra agentes encubiertos estadounidenses

Los piratas informáticos explotaron una vulnerabilidad de día cero en Versa Director, un software ampliamente utilizado por los ISP para proteger las operaciones de red, comprometiendo a varias empresas de Internet en Estados Unidos (EE. UU.) y en el extranjero, según Black Lotus Labs, la división de investigación de amenazas de Lumen Technologies.

Lumen sospecha que los ataques pueden tener su origen en China.

Este administrador está muy comprometido. La pregunta es si las cuentas fueron pirateadas o si personas con información privilegiada dieron acceso a los chinos.

Hackers chinos irrumpen en cuentas del gobierno y militares estadounidenses https://t.co/bbL3zRKMdi

— Pog (@OSINT220) 27 de agosto de 2024

Lumen señaló:

“Basándose en tácticas y técnicas conocidas y observadas, Black Lotus Labs atribuye la explotación de día cero de CVE-2024-39717 y el uso operativo del shell web VersaMem con moderada confianza a los actores de amenazas patrocinados por el estado chino conocidos como Volt Typhoon y Bronze Silhouette”.

Los investigadores de Lumen identificaron cuatro víctimas estadounidenses y una extranjera, cuyos objetivos supuestamente incluían personal gubernamental y militar que trabajaba de forma encubierta, así como otros grupos de interés estratégico para China.

El exploit sigue activo contra sistemas Versa Director sin parches, advierten los investigadores.

Brandon Wales, ex director ejecutivo de la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA), destacó la creciente sofisticación de los ciberataques chinos y pidió mayores inversiones en ciberseguridad.

La CISA informa que piratas informáticos chinos y otros se han infiltrado en servicios públicos y sistemas críticos de Estados Unidos durante hasta cinco años y han mantenido el acceso.

Esto es alarmante y podría tener consecuencias graves. Tememos que finalmente implosione. pic.twitter.com/xLXqm3OeDj

— Dagnum P.I. (@Dagnum_PI) 27 de agosto de 2024

Expresó:

“China sigue atacando infraestructuras críticas de Estados Unidos. La revelación de los intentos del Volt Typhoon ha dado lugar, obviamente, a cambios en las tácticas y en las técnicas que están utilizando, pero sabemos que siguen intentando día a día poner en peligro infraestructuras críticas de Estados Unidos”.

Black Lotus Labs enfatizó la gravedad de la vulnerabilidad e instó a las organizaciones que utilizan Versa Director a actualizar a la versión 22.1.4 o posterior.

China niega las acusaciones

China ha negado las acusaciones, afirmando que "Volt Typhoon" es en realidad un grupo cibercriminal de ransomware que se autodenomina "Dark Power" y que no está patrocinado por ningún estado o región.

Esta negación fue hecha por el portavoz de la embajada, Liu Pengyu, y fue repetida por Lin Jian, portavoz del Ministerio de Asuntos Exteriores de China, en una comunicación con el Global Times el 15 de abril.

Según los hallazgos, Volt Typhoon utilizó un shell web especializado conocido como "VersaMem" para capturar los detalles de inicio de sesión del usuario.

Descripción general del proceso de explotación de Versa Director y la funcionalidad del shell web de VersaMem

VersaMem es un sofisticado software malicioso que se adhiere a diferentes procesos y manipula el código Java de servidores vulnerables.

Funciona completamente en la memoria, lo que hace que sea especialmente difícil de detectar.

Los servidores Versa Director son el objetivo de un exploit

El exploit estaba dirigido específicamente a los servidores Versa Director, que son comúnmente utilizados por proveedores de Internet y servicios administrados, lo que los convierte en objetivos principales para los actores de amenazas que buscan penetrar los sistemas de administración de redes empresariales.

Versa Networks confirmó la vulnerabilidad el lunes, señalando que había sido explotada "en al menos un caso conocido".

Según Lumen, el shell web VersaMem se detectó por primera vez en VirusTotal el 7 de junio, poco antes de la explotación inicial.

Captura de pantalla de VirusTotal para VersaTest.png (SHA256: 4bcedac20a75e8f8833f4725adfc87577c32990c3783bf6c743f14599a176c37) que muestra 0 detecciones

El malware, compilado con Apache Maven, incluía comentarios en caracteres chinos dentro del código y hasta mediados de agosto no había sido detectado por el software antivirus.