Ataques cibernéticos chineses são suspeitos de agentes secretos dos EUA

Hackers exploraram uma vulnerabilidade de dia zero no Versa Director, software amplamente usado por ISPs para proteger operações de rede, comprometendo diversas empresas de internet nos Estados Unidos (EUA) e no exterior, de acordo com o Black Lotus Labs, a divisão de pesquisa de ameaças da Lumen Technologies.

A Lumen suspeita que os ataques podem ter origem na China.

Este administrador está tão comprometido que a questão é se as contas foram hackeadas ou se os chineses tiveram acesso a elas por meio de pessoas de dentro.

Hackers chineses invadem contas do governo e militares americanos https://t.co/bbL3zRKMdi

— Pog (@OSINT220) 27 de agosto de 2024

Lumen observou:

“Com base em táticas e técnicas conhecidas e observadas, o Black Lotus Labs atribui a exploração de dia zero do CVE-2024-39717 e o uso operacional do shell da web VersaMem com confiança moderada aos agentes de ameaças patrocinados pelo estado chinês, conhecidos como Volt Typhoon e Bronze Silhouette.”

Os pesquisadores da Lumen identificaram quatro vítimas americanas e uma estrangeira, com alvos supostamente incluindo funcionários do governo e militares trabalhando disfarçados, bem como outros grupos de interesse estratégico para a China.

Os pesquisadores alertam que o exploit continua ativo em sistemas Versa Director não corrigidos.

Brandon Wales, ex-diretor executivo da Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA), destacou a crescente sofisticação dos ataques cibernéticos chineses e pediu maiores investimentos em segurança cibernética.

A CISA relata que hackers chineses e outros se infiltraram em serviços públicos e sistemas críticos dos EUA por até 5 anos, mantendo o acesso.

Isso é alarmante e pode levar a consequências graves. Medo de que ele imploda eventualmente. pic.twitter.com/xLXqm3OeDj

— Dagnum P.I. (@Dagnum_PI) 27 de agosto de 2024

Ele expressou:

“A China continua a mirar na infraestrutura crítica dos EUA. A exposição dos esforços do Volt Typhoon resultou obviamente em mudanças nas táticas, na técnica que eles estão usando, mas sabemos que eles continuam todos os dias tentando comprometer a infraestrutura crítica dos EUA.”

A Black Lotus Labs enfatizou a gravidade da vulnerabilidade e pediu que as organizações que usam o Versa Director atualizem para a versão 22.1.4 ou posterior.

China nega alegações

A China negou as acusações, afirmando que o "Volt Typhoon" é, na verdade, um grupo cibercriminoso de ransomware que se autodenomina "Dark Power" e não é patrocinado por nenhum estado ou região.

A negação foi feita pelo porta-voz da embaixada, Liu Pengyu, e foi repetida por Lin Jian, porta-voz do Ministério das Relações Exteriores da China, em uma comunicação com o Global Times em 15 de abril.

De acordo com as descobertas, o Volt Typhoon utilizou um shell da web especializado conhecido como "VersaMem" para capturar detalhes de login do usuário.

Visão geral do processo de exploração do Versa Director e da funcionalidade do shell da web do VersaMem

VersaMem é ​​um software malicioso sofisticado que se anexa a diferentes processos e manipula o código Java de servidores vulneráveis.

Ele opera inteiramente na memória, o que o torna particularmente difícil de detectar.

Servidores Versa Director são alvos de exploração

O exploit teve como alvo específico os servidores Versa Director, que são comumente usados ​​por provedores de serviços gerenciados e de internet, tornando-os alvos principais de agentes de ameaças que buscam penetrar em sistemas de gerenciamento de redes corporativas.

A Versa Networks confirmou a vulnerabilidade na segunda-feira, observando que ela havia sido explorada "em pelo menos uma instância conhecida".

De acordo com a Lumen, o shell da web VersaMem foi detectado pela primeira vez no VirusTotal em 7 de junho, pouco antes da exploração inicial.

Captura de tela do VirusTotal para VersaTest.png (SHA256: 4bcedac20a75e8f8833f4725adfc87577c32990c3783bf6c743f14599a176c37) mostrando 0 detecções

O malware, compilado usando o Apache Maven, incluía comentários em caracteres chineses no código e permaneceu sem ser detectado pelo software antivírus até meados de agosto.