Η Mandiant λέει ότι χάκερ που υποστηρίζονται από την Κίνα εκμεταλλεύτηκαν το Barracuda zero day για να κατασκοπεύσουν τις κυβερνήσεις

Ερευνητές ασφαλείας στη Mandiant λένε ότι χάκερ που υποστηρίζονται από την Κίνα είναι πιθανό πίσω από τη μαζική εκμετάλλευση ενός ελαττώματος ασφαλείας που ανακαλύφθηκε πρόσφατα στον εξοπλισμό ασφαλείας email της Barracuda Networks, το οποίο προκάλεσε μια προειδοποίηση στους πελάτες να αφαιρέσουν και να αντικαταστήσουν τις επηρεαζόμενες συσκευές.

Η Mandiant, η οποία κλήθηκε να εκτελέσει την απάντηση του περιστατικού του Barracuda, είπε ότι οι χάκερ εκμεταλλεύτηκαν το ελάττωμα για να εκθέσουν σε κίνδυνο εκατοντάδες οργανισμούς πιθανότατα ως μέρος μιας εκστρατείας κατασκοπείας για την υποστήριξη της κινεζικής κυβέρνησης.

Σχεδόν το ένα τρίτο των στοχευόμενων οργανισμών είναι κυβερνητικές υπηρεσίες, είπε η Mandiant

μια αναφορά

δημοσιεύθηκε την Πέμπτη.

Τον περασμένο μήνα, η Barracuda ανακάλυψε το ελάττωμα ασφαλείας που επηρεάζει τις συσκευές της Email

Security

Gateway (ESG), οι οποίες βρίσκονται στο δίκτυο μιας εταιρείας και φιλτράρουν την κίνηση email για κακόβουλο περιεχόμενο. Σφυραίνα

εκδόθηκαν patches

και προειδοποίησε ότι οι χάκερ εκμεταλλεύονταν το ελάττωμα από τον Οκτώβριο του 2022. Αλλά η εταιρεία αργότερα συνέστησε στους πελάτες να αφαιρέσουν και να αντικαταστήσουν τις επηρεαζόμενες συσκευές ESG, ανεξάρτητα από το επίπεδο ενημέρωσης κώδικα, υποδηλώνοντας ότι οι ενημερώσεις κώδικα απέτυχαν ή δεν μπόρεσαν να εμποδίσουν την πρόσβαση του χάκερ.

Στην τελευταία της καθοδήγηση, η Mandiant προειδοποίησε επίσης τους πελάτες να αντικαταστήσουν τον επηρεασμένο εξοπλισμό, αφού βρήκε στοιχεία ότι οι υποστηριζόμενοι από την Κίνα χάκερ απέκτησαν βαθύτερη πρόσβαση σε δίκτυα επηρεαζόμενων οργανισμών.

Η Barracuda έχει περίπου 200.000 εταιρικούς πελάτες σε όλο τον κόσμο.

Η Mandiant αποδίδει τις εισβολές σε μια ομάδα απειλών που δεν έχει ακόμη κατηγοριοποιηθεί, την οποία αποκαλεί UNC4841, η οποία μοιράζεται επικαλύψεις υποδομών και κώδικα κακόβουλου λογισμικού με άλλες ομάδες

hacking

που υποστηρίζονται από την Κίνα. Οι ερευνητές του Mandiant λένε ότι η ομάδα απειλών εκμεταλλεύτηκε τα ελαττώματα του Barracuda ESG για να αναπτύξει προσαρμοσμένο κακόβουλο λογισμικό, το οποίο διατηρεί την πρόσβαση των χάκερ στις συσκευές ενώ διεισδύει δεδομένα.

Σύμφωνα με την έκθεσή της, η Mandiant είπε ότι βρήκε στοιχεία ότι το UNC4841 «αναζήτησε λογαριασμούς email που ανήκουν σε άτομα που εργάζονται για μια κυβέρνηση με πολιτικά ή στρατηγικά ενδιαφέροντα [

China

] την ίδια στιγμή που αυτή η κυβέρνηση των θυμάτων συμμετείχε σε υψηλού επιπέδου διπλωματικές συναντήσεις με άλλες χώρες».

Δεδομένου ότι μεγάλο μέρος των στόχων ήταν κυβερνητικές οντότητες, οι ερευνητές είπαν ότι αυτό υποστηρίζει την εκτίμησή τους ότι η ομάδα απειλής έχει κίνητρο συλλογής πληροφοριών, αντί να διεξάγει καταστροφικές επιθέσεις δεδομένων.

Ο επικεφαλής τεχνολογίας της Mandiant, Charles Carmakal, δήλωσε ότι οι εισβολές που στοχεύουν πελάτες του Barracuda είναι η «ευρύτερη εκστρατεία κατασκοπείας στον κυβερνοχώρο» που είναι γνωστό ότι διεξάγεται από μια ομάδα hacking που υποστηρίζεται από την Κίνα από τη μαζική εκμετάλλευση των διακομιστών

Microsoft

Exchange το 2021, την οποία η Mandiant

επίσης αποδίδεται

στην Κίνα.

Ο Liu Pengyu, εκπρόσωπος της κινεζικής πρεσβείας στην Ουάσιγκτον, δήλωσε ότι οι ισχυρισμοί ότι η κινεζική κυβέρνηση υποστηρίζει το hacking «διαστρεβλώνουν πλήρως την αλήθεια».

«Η θέση της κινεζικής κυβέρνησης για την ασφάλεια στον κυβερνοχώρο είναι συνεπής και σαφής. Πάντα αντιτασσόμασταν σθεναρά και καταπολεμούσαμε όλες τις μορφές διαδικτυακής πειρατείας σύμφωνα με το νόμο», είπε ο εκπρόσωπος, ενώ επίσης κατηγόρησε την κυβέρνηση των ΗΠΑ για παραβίαση του διεθνούς δικαίου πραγματοποιώντας παρόμοιες δραστηριότητες κατασκοπείας, αλλά χωρίς να παρέχει στοιχεία για τους ισχυρισμούς.