疑似中国对美国卧底特工进行网路攻击
据 Lumen Technologies 威胁研究部门 Black Lotus Labs 称,骇客利用了 Versa Director(ISP 广泛使用的软体来保护网路营运)的零日漏洞,损害了美国和国外的多家网路公司。
Lumen 怀疑这些攻击可能来自中国。
这个管理员太容易受到攻击了,问题是这些帐户是否被骇客入侵,或者中国人是否被内部人员授予了存取权限?
中国黑客侵入美国政府和军方账户 https://t.co/bbL3zRKMdi
— Pog(@OSINT220) 2024 年 8 月 27 日
Lumen 指出:
“基于已知和观察到的策略和技术,黑莲花实验室将 CVE-2024-39717 的零日攻击和 VersaMem Web shell 的操作使用归咎于中国国家支持的威胁行为者,即 Volt Typhoon 和 Bronze Silhouette。”
Lumen 的研究人员确定了四名美国受害者和一名外国受害者,据报道,目标包括秘密工作的政府和军事人员,以及其他对中国有战略利益的团体。
研究人员警告说,该漏洞仍然针对未修补的 Versa Director 系统有效。
美国网络安全和基础设施安全局(CISA)前执行局长布兰登·威尔士强调中国网络攻击日益复杂化,并呼吁增加网络安全投资。
CISA 报告称,中国黑客和其他组织已入侵美国公用事业和关键系统长达 5 年之久,并保持访问权限。
这令人担忧,可能会导致严重后果。担心它最终会崩溃。pic.twitter.com/xLXqm3OeDj
— Dagnum P.I. (@Dagnum_PI) 2024 年 8 月 27 日
他表示:
“中国继续以美国关键基础设施为目标。Volt Typhoon 行动的曝光显然导致了他们战术和情报技术的改变,但我们知道他们每天都在继续试图破坏美国关键基础设施。”
Black Lotus Labs 强调了该漏洞的严重性,并敦促使用 Versa Director 的组织升级到 22.1.4 或更高版本。
中国否认指控
中国否认了这些指控,称“伏特台风”其实是一个勒索软件网络犯罪组织,自称“黑暗力量”,并不受任何国家或地区的支持。
中国大使馆发言人刘鹏宇否认了这一说法,中国外交部发言人林建4月15日在接受《环球时报》采访时也表达了同样的看法。
根据调查结果,Volt Typhoon 使用名为“VersaMem”的专门网络外壳来捕获用户登录详细信息。
Versa Director 漏洞利用过程和 VersaMem Web Shell 功能概述
VersaMem 是一种复杂的恶意软件,它会附加到不同的进程中并操纵易受攻击的服务器的 Java 代码。
它完全在内存中运行,因此特别难以检测。
Versa Director 服务器遭攻击
该漏洞专门针对互联网和托管服务提供商常用的 Versa Director 服务器,使其成为寻求渗透企业网络管理系统的威胁行为者的首要目标。
Versa Networks 周一证实了该漏洞,并指出该漏洞“至少在一次已知实例中”被利用。
据 Lumen 称,VersaMem Web shell 于 6 月 7 日在 VirusTotal 上首次被发现,就在首次利用之前不久。
VirusTotal 的 VersaTest.png 截图(SHA256:4bcedac20a75e8f8833f4725adfc87577c32990c3783bf6c743f14599a176c37)显示 0 个检测结果
该恶意软件使用 Apache Maven 编译,代码中包含中文注释,截至 8 月中旬仍未被防病毒软件检测到。
