疑似中國對美國臥底特工進行網路攻擊
據 Lumen Technologies 威脅研究部門 Black Lotus Labs 稱,駭客利用了 Versa Director(ISP 廣泛使用的軟體來保護網路營運)的零日漏洞,損害了美國和國外的多家網路公司。
Lumen 懷疑這些攻擊可能來自中國。
這個管理員太容易受到攻擊了,問題是這些帳戶是否被駭客入侵,或者中國人是否被內部人員授予了存取權限?
中國黑客侵入美國政府和軍方賬戶 https://t.co/bbL3zRKMdi
— Pog(@OSINT220) 2024 年 8 月 27 日
Lumen 指出:
“基於已知和觀察到的策略和技術,黑蓮花實驗室將 CVE-2024-39717 的零日攻擊和 VersaMem Web shell 的操作使用歸咎於中國國家支持的威脅行爲者,即 Volt Typhoon 和 Bronze Silhouette。”
Lumen 的研究人員確定了四名美國受害者和一名外國受害者,據報道,目標包括祕密工作的政府和軍事人員,以及其他對中國有戰略利益的團體。
研究人員警告說,該漏洞仍然針對未修補的 Versa Director 系統有效。
美國網絡安全和基礎設施安全局(CISA)前執行局長布蘭登·威爾士強調中國網絡攻擊日益複雜化,並呼籲增加網絡安全投資。
CISA 報告稱,中國黑客和其他組織已入侵美國公用事業和關鍵系統長達 5 年之久,並保持訪問權限。
這令人擔憂,可能會導致嚴重後果。擔心它最終會崩潰。pic.twitter.com/xLXqm3OeDj
— Dagnum P.I. (@Dagnum_PI) 2024 年 8 月 27 日
他表示:
“中國繼續以美國關鍵基礎設施爲目標。Volt Typhoon 行動的曝光顯然導致了他們戰術和情報技術的改變,但我們知道他們每天都在繼續試圖破壞美國關鍵基礎設施。”
Black Lotus Labs 強調了該漏洞的嚴重性,並敦促使用 Versa Director 的組織升級到 22.1.4 或更高版本。
中國否認指控
中國否認了這些指控,稱“伏特颱風”其實是一個勒索軟件網絡犯罪組織,自稱“黑暗力量”,並不受任何國家或地區的支持。
中國大使館發言人劉鵬宇否認了這一說法,中國外交部發言人林建4月15日在接受《環球時報》採訪時也表達了同樣的看法。
根據調查結果,Volt Typhoon 使用名爲“VersaMem”的專門網絡外殼來捕獲用戶登錄詳細信息。
Versa Director 漏洞利用過程和 VersaMem Web Shell 功能概述
VersaMem 是一種複雜的惡意軟件,它會附加到不同的進程中並操縱易受攻擊的服務器的 Java 代碼。
它完全在內存中運行,因此特別難以檢測。
Versa Director 服務器遭攻擊
該漏洞專門針對互聯網和託管服務提供商常用的 Versa Director 服務器,使其成爲尋求滲透企業網絡管理系統的威脅行爲者的首要目標。
Versa Networks 週一證實了該漏洞,並指出該漏洞“至少在一次已知實例中”被利用。
據 Lumen 稱,VersaMem Web shell 於 6 月 7 日在 VirusTotal 上首次被發現,就在首次利用之前不久。
VirusTotal 的 VersaTest.png 截圖(SHA256:4bcedac20a75e8f8833f4725adfc87577c32990c3783bf6c743f14599a176c37)顯示 0 個檢測結果
該惡意軟件使用 Apache Maven 編譯,代碼中包含中文註釋,截至 8 月中旬仍未被防病毒軟件檢測到。
