Подозреваются, что китайские кибератаки направлены против тайных агентов США

По данным Black Lotus Labs, подразделения Lumen Technologies, занимающегося исследованием угроз, хакеры воспользовались уязвимостью нулевого дня в Versa Director — программном обеспечении, широко используемом интернет-провайдерами для защиты сетевых операций, — скомпрометировав несколько интернет-компаний в Соединенных Штатах и ​​за рубежом.

Lumen подозревает, что атаки могут исходить из Китая.

Этот админ настолько скомпрометирован, что возникает вопрос: были ли аккаунты взломаны или китайцам предоставили доступ инсайдеры?)

Китайские хакеры взламывают американские правительственные и военные аккаунты https://t.co/bbL3zRKMdi

— Пог (@OSINT220) 27 августа 2024 г.

Люмен отметил:

«Основываясь на известных и наблюдаемых тактиках и методах, Black Lotus Labs с умеренной уверенностью приписывает эксплуатацию уязвимости нулевого дня CVE-2024-39717 и оперативное использование веб-шелла VersaMem спонсируемым государством китайским группировкам, известным как Volt Typhoon и Bronze Silhouette».

Исследователи Lumen выявили четырех жертв из США и одну иностранную жертву. По имеющимся данным, среди целей были правительственные и военные сотрудники, работавшие под прикрытием, а также другие группы, представляющие стратегический интерес для Китая.

Исследователи предупреждают, что уязвимость по-прежнему актуальна для непропатченных систем Versa Director.

Брэндон Уэйлс, бывший исполнительный директор Агентства по кибербезопасности и безопасности инфраструктуры США (CISA), подчеркнул растущую изощренность китайских кибератак и призвал к увеличению инвестиций в кибербезопасность.

По данным CISA, китайские хакеры и другие лица проникали в коммунальные службы и критически важные системы США на протяжении 5 лет, сохраняя к ним доступ.

Это тревожно и может привести к серьезным последствиям. Боюсь, что в конечном итоге это рухнет. pic.twitter.com/xLXqm3OeDj

— Частный детектив Дагнум (@Dagnum_PI) 27 августа 2024 г.

Он выразил:

«Китай продолжает нацеливаться на критически важную инфраструктуру США. Разоблачение усилий Volt Typhoon, очевидно, привело к изменению тактики, методов, которые они используют, но мы знаем, что они продолжают каждый день пытаться поставить под угрозу критически важную инфраструктуру США».

Black Lotus Labs подчеркнула серьезность уязвимости и настоятельно рекомендовала организациям, использующим Versa Director, обновиться до версии 22.1.4 или более поздней.

Китай отрицает обвинения

Китай отверг обвинения, заявив, что «Volt Typhoon» на самом деле является киберпреступной группировкой, занимающейся вымогательством, которая называет себя «Темной силой» и не спонсируется каким-либо государством или регионом.

Это опровержение было сделано представителем посольства Лю Пэньюй, и его повторил Линь Цзянь, пресс-секретарь Министерства иностранных дел Китая, в сообщении Global Times от 15 апреля.

Согласно результатам расследования, Volt Typhoon использовал специализированную веб-оболочку, известную как «VersaMem», для сбора данных для входа пользователя.

Обзор процесса эксплуатации Versa Director и функциональности веб-оболочки VersaMem

VersaMem — это сложное вредоносное программное обеспечение, которое прикрепляется к различным процессам и манипулирует кодом Java уязвимых серверов.

Он работает исключительно в памяти, что делает его обнаружение особенно сложным.

Серверы Versa Director стали объектом атаки

Эксплойт был специально нацелен на серверы Versa Director, которые обычно используются поставщиками интернет-услуг и управляемых услуг, что делает их основными целями для злоумышленников, стремящихся проникнуть в системы управления корпоративными сетями.

Компания Versa Networks подтвердила наличие уязвимости в понедельник, отметив, что она была использована «как минимум в одном известном случае».

По данным Lumen, веб-оболочка VersaMem была впервые обнаружена на VirusTotal 7 июня, незадолго до первоначальной эксплуатации.

Скриншот с VirusTotal для VersaTest.png (SHA256: 4bcedac20a75e8f8833f4725adfc87577c32990c3783bf6c743f14599a176c37), показывающий 0 обнаружений

Вредоносная программа, скомпилированная с помощью Apache Maven, включала в код комментарии на китайском языке и по состоянию на середину августа оставалась незамеченной антивирусным программным обеспечением.