Suspectate atacuri cibernetice din China asupra agenților sub acoperire din SUA

Hackerii au exploatat o vulnerabilitate zero-day în Versa Director – software utilizat pe scară largă de ISP-uri pentru a securiza operațiunile de rețea – compromițând mai multe companii de internet din Statele Unite (SUA) și din străinătate, potrivit Black Lotus Labs, divizia de cercetare a amenințărilor a Lumen Technologies.

Lumen suspectează că atacurile ar putea proveni din China.

Acest administrator este atât de compromis, întrebarea este dacă conturile au fost piratate sau chinezii li s-a dat acces de către persoane din interior?)

Hackerii chinezi sparg conturile guvernamentale și militare americane https://t.co/bbL3zRKMdi

— Pog (@OSINT220) 27 august 2024

Lumen a notat:

„Pe baza tacticilor și tehnicilor cunoscute și observate, Black Lotus Labs atribuie exploatarea zero-day a CVE-2024-39717 și utilizarea operațională a shell-ului web VersaMem cu o încredere moderată actorilor de amenințări sponsorizați de stat chinezi, cunoscuți ca Volt Typhoon și Bronze. Siluetă."

Cercetătorii Lumen au identificat patru victime americane și o victimă străină, cu ținte care ar include personal guvernamental și militar care lucrează sub acoperire, precum și alte grupuri de interes strategic pentru China.

Exploatarea rămâne activă împotriva sistemelor Versa Director nepatchate, avertizează cercetătorii.

Brandon Wales, fost director executiv al Agenției americane pentru securitatea cibernetică și a infrastructurii (CISA), a subliniat sofisticarea tot mai mare a atacurilor cibernetice din China și a cerut investiții sporite în securitatea cibernetică.

CISA raportează că hackerii chinezi și alții s-au infiltrat în utilitățile și sistemele critice din SUA timp de până la 5 ani, menținând accesul.

Acest lucru este alarmant și ar putea duce la consecințe majore. Teamă că va exploda în cele din urmă. pic.twitter.com/xLXqm3OeDj

— Dagnum P.I. (@Dagnum_PI) 27 august 2024

El a exprimat:

„China continuă să vizeze infrastructura critică a SUA. Dezvăluirea eforturilor Volt Typhoon a dus, în mod evident, la schimbări de tactică, de meserie pe care le folosesc, dar știm că ei continuă în fiecare zi să încerce să compromită infrastructura critică din SUA.”

Black Lotus Labs a subliniat gravitatea vulnerabilității și a îndemnat organizațiile care folosesc Versa Director să facă upgrade la versiunea 22.1.4 sau o versiune ulterioară.

China neagă acuzațiile

China a negat acuzațiile, declarând că „Volt Typhoon” este de fapt un grup criminal ransomware care se referă la sine ca „Dark Power” și nu este sponsorizat de niciun stat sau regiune.

Această negare a fost făcută de purtătorul de cuvânt al ambasadei Liu Pengyu și a fost reluată de Lin Jian, purtătorul de cuvânt al Ministerului Afacerilor Externe al Chinei, într-o comunicare cu Global Times din 15 aprilie.

Conform constatărilor, Volt Typhoon a folosit un shell web specializat cunoscut sub numele de „VersaMem” pentru a captura detaliile de conectare ale utilizatorilor.

Prezentare generală a procesului de exploatare Versa Director și a funcționalității web shell VersaMem

VersaMem este o piesă sofisticată de software rău intenționat care se atașează la diferite procese și manipulează codul Java al serverelor vulnerabile.

Funcționează în întregime în memorie, ceea ce îl face deosebit de dificil de detectat.

Servere Versa Director vizate în Exploit

Exploatarea a vizat în mod special serverele Versa Director, care sunt utilizate în mod obișnuit de furnizorii de internet și de servicii gestionate, făcându-le ținte principale pentru actorii amenințărilor care doresc să pătrundă în sistemele de management al rețelei de întreprindere.

Versa Networks a confirmat luni vulnerabilitatea, menționând că aceasta a fost exploatată „în cel puțin o instanță cunoscută”.

Potrivit Lumen, shell-ul web VersaMem a fost detectat pentru prima dată pe VirusTotal pe 7 iunie, cu puțin timp înainte de exploatarea inițială.

Captură de ecran de la VirusTotal pentru VersaTest.png (SHA256: 4bcedac20a75e8f8833f4725adfc87577c32990c3783bf6c743f14599a176c37) care arată 0 detectări

Malware-ul, compilat folosind Apache Maven, includea comentarii cu caractere chinezești în cod și a rămas nedetectat de software-ul antivirus de la jumătatea lunii august.