Sospetti attacchi informatici cinesi contro agenti sotto copertura statunitensi

Secondo Black Lotus Labs, la divisione di ricerca sulle minacce di Lumen Technologies, gli hacker hanno sfruttato una vulnerabilità zero-day in Versa Director, un software ampiamente utilizzato dagli ISP per proteggere le operazioni di rete, compromettendo diverse aziende Internet negli Stati Uniti e all'estero.

Lumen sospetta che gli attacchi possano avere origine in Cina.

Questa amministrazione è così compromessa che la domanda è se gli account siano stati hackerati o se l'accesso ai cinesi sia stato concesso da persone interne?)

Gli hacker cinesi irrompono negli account del governo e dell'esercito americano https://t.co/bbL3zRKMdi

— Pog (@OSINT220) 27 agosto 2024

Lumen ha osservato:

"Sulla base di tattiche e tecniche note e osservate, Black Lotus Labs attribuisce con moderata sicurezza lo sfruttamento zero-day di CVE-2024-39717 e l'uso operativo della web shell VersaMem agli attori della minaccia sponsorizzati dallo stato cinese noti come Volt Typhoon e Bronze Silhouette".

I ricercatori di Lumen hanno identificato quattro vittime statunitensi e una straniera; tra gli obiettivi figurano, a quanto si dice, personale governativo e militare che lavora sotto copertura, nonché altri gruppi di interesse strategico per la Cina.

I ricercatori avvertono che l'exploit rimane attivo sui sistemi Versa Director non aggiornati.

Brandon Wales, ex direttore esecutivo della Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti, ha sottolineato la crescente sofisticatezza degli attacchi informatici cinesi e ha chiesto maggiori investimenti nella sicurezza informatica.

La CISA segnala che hacker cinesi e altri si sono infiltrati nei servizi di pubblica utilità e nei sistemi critici degli Stati Uniti per un massimo di 5 anni, mantenendone l'accesso.

Ciò è allarmante e potrebbe portare a conseguenze importanti. Temo che alla fine imploderà. pic.twitter.com/xLXqm3OeDj

— Dagnum P.I. (@Dagnum_PI) 27 agosto 2024

Ha espresso:

"La Cina continua a prendere di mira le infrastrutture critiche degli Stati Uniti. L'esposizione degli sforzi del Volt Typhoon ha ovviamente portato a cambiamenti nelle tattiche, nelle tecniche commerciali che stanno usando, ma sappiamo che continuano ogni giorno a cercare di compromettere le infrastrutture critiche degli Stati Uniti".

Black Lotus Labs ha sottolineato la gravità della vulnerabilità e ha esortato le organizzazioni che utilizzano Versa Director ad aggiornare alla versione 22.1.4 o successiva.

La Cina nega le accuse

La Cina ha negato le accuse, affermando che "Volt Typhoon" è in realtà un gruppo di criminali informatici che usa ransomware e che si definisce "Dark Power" e che non è sponsorizzato da nessuno stato o regione.

Questa smentita è stata fatta dal portavoce dell'ambasciata Liu Pengyu ed è stata ripresa da Lin Jian, portavoce del Ministero degli Affari Esteri cinese, in una comunicazione al Global Times del 15 aprile.

Secondo i risultati, Volt Typhoon utilizzava una web shell specializzata denominata "VersaMem" per acquisire i dati di accesso degli utenti.

Panoramica del processo di sfruttamento di Versa Director e della funzionalità web shell VersaMem

VersaMem è un sofisticato software dannoso che si attacca a diversi processi e manipola il codice Java dei server vulnerabili.

Funziona interamente nella memoria, il che lo rende particolarmente difficile da rilevare.

Server Versa Director presi di mira in exploit

L'exploit aveva come bersaglio specifico i server Versa Director, comunemente utilizzati dai provider di servizi Internet e gestiti, rendendoli obiettivi privilegiati per gli autori di minacce che mirano a penetrare nei sistemi di gestione delle reti aziendali.

Versa Networks ha confermato la vulnerabilità lunedì, sottolineando che era stata sfruttata "in almeno un caso noto".

Secondo Lumen, la web shell VersaMem è stata rilevata per la prima volta su VirusTotal il 7 giugno, poco prima dello sfruttamento iniziale.

Screenshot da VirusTotal per VersaTest.png (SHA256: 4bcedac20a75e8f8833f4725adfc87577c32990c3783bf6c743f14599a176c37) che mostra 0 rilevamenti

Il malware, compilato utilizzando Apache Maven, includeva commenti in caratteri cinesi all'interno del codice e fino a metà agosto non era stato rilevato dal software antivirus.