Китаї підозрюють кібератаки на таємних агентів США
За даними Black Lotus Labs, підрозділу Lumen Technologies, що займається дослідженням загроз, хакери скористалися уразливістю нульового дня у програмному забезпеченні Versa Director, яке широко використовується провайдерами для захисту мережевих операцій, скомпрометувавши кілька інтернет-компаній у Сполучених Штатах (США) та за кордоном.
Lumen підозрює, що атаки можуть відбуватися з Китаю.
Цей адмін настільки скомпрометований, що питання в тому, чи були облікові записи зламані, чи китайцям надали доступ інсайдери?)
Китайські хакери зламали американські урядові та військові акаунти https://t.co/bbL3zRKMdi
— Пог (@OSINT220) 27 серпня 2024 р
Lumen зазначив:
«Грунтуючись на відомих і спостережених тактиках і техніках, Black Lotus Labs приписує використання CVE-2024-39717 нульового дня та оперативне використання веб-оболонки VersaMem з помірною впевненістю спонсорованим китайською державою загрозам, відомим як Volt Typhoon і Bronze. Силует».
Дослідники Lumen ідентифікували чотирьох американських жертв і одну іноземну жертву, цілями яких, як повідомляється, є урядовий і військовий персонал, який працює під прикриттям, а також інші групи, що становлять стратегічний інтерес для Китаю.
Експлойт залишається активним проти невиправлених систем Versa Director, попереджають дослідники.
Брендон Уейлз, колишній виконавчий директор Агентства кібербезпеки та безпеки інфраструктури США (CISA), підкреслив зростаючу витонченість китайських кібератак і закликав збільшити інвестиції в кібербезпеку.
CISA повідомляє, що китайські хакери та інші проникали в комунальні служби США та критичні системи протягом 5 років, зберігаючи доступ.
Це викликає тривогу і може призвести до серйозних наслідків. Боїться, що зрештою він вибухне. pic.twitter.com/xLXqm3OeDj
— Дагнум П.І. (@Dagnum_PI) 27 серпня 2024 р
Він висловив:
«Китай продовжує націлюватися на критичну інфраструктуру США. Викриття зусиль Volt Typhoon, очевидно, призвело до змін у тактиці, техніці, яку вони використовують, але ми знаємо, що вони щодня намагаються скомпрометувати критично важливу інфраструктуру США».
Black Lotus Labs підкреслили серйозність уразливості та закликали організації, які використовують Versa Director, оновити програму до версії 22.1.4 або новішої.
Китай заперечує звинувачення
Китай заперечує звинувачення, заявляючи, що «Volt Typhoon» насправді є кіберзлочинною групою програм-вимагачів, яка називає себе «Темною силою» і не спонсорується жодною державою чи регіоном.
Цю відмову зробив прес-секретар посольства Лю Пенгуй, і її повторив Лінь Цзянь, речник Міністерства закордонних справ Китаю, у спілкуванні з Global Times 15 квітня.
Відповідно до висновків, Volt Typhoon використовував спеціалізовану веб-оболонку, відому як «VersaMem», для збору даних користувача для входу.
Огляд процесу експлуатації Versa Director і функціональності веб-оболонки VersaMem
VersaMem — це складне шкідливе програмне забезпечення, яке приєднується до різних процесів і маніпулює кодом Java уразливих серверів.
Він повністю працює в пам’яті, що робить його особливо складним для виявлення.
Сервери Versa Director, націлені на експлойт
Експлойт спеціально націлений на сервери Versa Director, які зазвичай використовуються Інтернет-провайдерами та провайдерами керованих послуг, що робить їх головними цілями для зловмисників, які прагнуть проникнути в корпоративні системи керування мережею.
Versa Networks підтвердила вразливість у понеділок, зазначивши, що вона була використана «принаймні в одному відомому випадку».
За даними Lumen, веб-оболонка VersaMem була вперше виявлена на VirusTotal 7 червня, незадовго до початкової експлуатації.
Знімок екрана з VirusTotal для VersaTest.png (SHA256: 4bcedac20a75e8f8833f4725adfc87577c32990c3783bf6c743f14599a176c37) показує 0 виявлень
Зловмисне програмне забезпечення, скомпільоване за допомогою Apache Maven, містило коментарі китайськими ієрогліфами в коді та залишалося невиявленим антивірусним програмним забезпеченням станом на середину серпня.