Podejrzewa się, że chińskie cyberataki dotyczyły amerykańskich agentów tajnych

Hakerzy wykorzystali lukę typu zero-day w Versa Director — oprogramowaniu powszechnie używanym przez dostawców usług internetowych do zabezpieczania operacji sieciowych — narażając na atak kilka firm internetowych w Stanach Zjednoczonych i za granicą, zgodnie z informacjami Black Lotus Labs, działu badań nad zagrożeniami firmy Lumen Technologies.

Lumen podejrzewa, że ​​ataki mogą pochodzić z Chin.

Ten administrator jest tak skompromitowany, że pytanie brzmi, czy konta zostały zhakowane, czy też Chińczycy otrzymali dostęp od osób z wewnątrz?)

Chińscy hakerzy włamują się na konta amerykańskiego rządu i wojska https://t.co/bbL3zRKMdi

— Pog (@OSINT220) 27 sierpnia 2024 r.

Lumen zauważył:

„Na podstawie znanych i zaobserwowanych taktyk i technik, Black Lotus Labs przypisuje eksploatację luki CVE-2024-39717 typu zero-day oraz operacyjne wykorzystanie powłoki sieciowej VersaMem z umiarkowanym przekonaniem chińskim państwowym podmiotom stwarzającym zagrożenie, znanym jako Volt Typhoon i Bronze Silhouette”.

Badacze Lumen zidentyfikowali cztery ofiary ze Stanów Zjednoczonych i jedną zagraniczną. Według doniesień wśród celów byli między innymi przedstawiciele rządu i wojska pracujący pod przykrywką, a także inne grupy o strategicznym znaczeniu dla Chin.

Badacze ostrzegają, że exploit nadal jest aktywny w niezałatanych systemach Versa Director.

Brandon Wales, były dyrektor wykonawczy amerykańskiej Agencji ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury (CISA), zwrócił uwagę na rosnącą wyrafinowanie chińskich cyberataków i wezwał do zwiększenia inwestycji w cyberbezpieczeństwo.

CISA podaje, że chińscy hakerzy i inne osoby infiltrowały amerykańskie zakłady użyteczności publicznej i systemy o kluczowym znaczeniu przez okres do 5 lat, uzyskując do nich dostęp.

To jest alarmujące i może prowadzić do poważnych konsekwencji. Obawiam się, że ostatecznie imploduje. pic.twitter.com/xLXqm3OeDj

— Dagnum P.I. (@Dagnum_PI) 27 sierpnia 2024 r.

Wyraził:

„Chiny nadal atakują krytyczną infrastrukturę USA. Ujawnienie wysiłków Volt Typhoon najwyraźniej doprowadziło do zmiany taktyki, rzemiosła, którego używają, ale wiemy, że każdego dnia próbują naruszyć krytyczną infrastrukturę USA”.

Firma Black Lotus Labs podkreśliła powagę tej luki w zabezpieczeniach i zaapelowała do organizacji korzystających z oprogramowania Versa Director o aktualizację do wersji 22.1.4 lub nowszej.

Chiny zaprzeczają oskarżeniom

Chiny zaprzeczyły tym oskarżeniom, twierdząc, że „Volt Typhoon” jest w rzeczywistości grupą cyberprzestępczą zajmującą się oprogramowaniem ransomware, która określa siebie mianem „Dark Power” i nie jest sponsorowana przez żadne państwo ani region.

Zaprzeczenie to złożył rzecznik ambasady Liu Pengyu, a powtórzył je Lin Jian, rzecznik chińskiego Ministerstwa Spraw Zagranicznych, w komunikacie dla Global Times 15 kwietnia.

Zgodnie z wynikami badań, Volt Typhoon wykorzystywał specjalistyczną powłokę internetową znaną jako „VersaMem” do przechwytywania danych logowania użytkowników.

Przegląd procesu eksploatacji Versa Director i funkcjonalności powłoki internetowej VersaMem

VersaMem to wyrafinowany złośliwy program, który przyłącza się do różnych procesów i manipuluje kodem Java podatnych na ataki serwerów.

Działa wyłącznie w pamięci, co sprawia, że ​​jego wykrycie jest wyjątkowo trudne.

Serwery Versa Director celem exploita

Atak wymierzony był w szczególności w serwery Versa Director, które są powszechnie używane przez dostawców usług internetowych i zarządzanych, co czyni je głównym celem ataków cyberprzestępców, którzy chcą przeniknąć do systemów zarządzania siecią przedsiębiorstwa.

Versa Networks potwierdziło lukę w zabezpieczeniach w poniedziałek, zauważając, że została ona wykorzystana „przynajmniej w jednym znanym przypadku”.

Według Lumen, powłoka internetowa VersaMem została po raz pierwszy wykryta w serwisie VirusTotal 7 czerwca, na krótko przed pierwotnym atakiem.

Zrzut ekranu z VirusTotal dla VersaTest.png (SHA256: 4bcedac20a75e8f8833f4725adfc87577c32990c3783bf6c743f14599a176c37) pokazujący 0 wykryć

Złośliwe oprogramowanie, skompilowane przy użyciu Apache Maven, zawierało komentarze w znakach chińskich w kodzie i do połowy sierpnia nie zostało wykryte przez oprogramowanie antywirusowe.