Chińscy Hakerzy Atakują Dostawców Internetu w USA

Badacze z Lumen Black Lotus Labs ujawniają, że hakerzy powiązani z rządem chińskim wykorzystali lukę w oprogramowaniu sieciowym i zaatakowali dostawców usług internetowych (ISP) w Stanach Zjednoczonych.

Według raportu opublikowanego we wtorek, zespół badawczy odkrył, że złośliwi działacze wykorzystali lukę zero-day – błąd bezpieczeństwa, który nie został wcześniej zidentyfikowany – w serwerach Versa Director, usłudze dostarczanej przez Versa Networks wielu ISP w kraju.

Podatność, obecnie zidentyfikowana jako CVE-2024-39717, została publicznie ogłoszona 22 sierpnia, a także uruchomiono nową aktualizację bezpieczeństwa. Wersje Versa Director starsze niż 22.1.4 mogą być narażone na ryzyko.

Na podstawie ich badań, eksperci przypisują atak Volt Typhoon i Bronze Silhouette, dwóm znanych sprawcom zagrożeń sponsorowanych przez państwo chińskie.

Według TechCrunch, Volt Typhoon „skupia się na atakowaniu kluczowej infrastruktury”, a jego misją jest wywołanie „szkód w prawdziwym świecie”. Ta organizacja chce zakłócić działania amerykańskiej armii.

Badacze odkryli specjalnie skrojoną powłokę sieciową o modularnej naturze, powiązaną z podatnością, którą nazwali „VersaMem”. Jest ona używana „do przechwytywania i zbierania danych uwierzytelniających, które umożliwiłyby dostęp do sieci klientów na dalszym etapie jako uwierzytelniony użytkownik”.

Śledztwo szczegółowo opisało także, że dotknięte urządzenia znajdowały się w małych biurach oraz domowych biurach. Black Lotus Labs zidentyfikowało cztery amerykańskie ofiary i jedną ofiarę spoza USA w czerwcu. Złośliwi aktorzy uzyskali dostęp administracyjny i zdołali wdrożyć i wykorzystać powłokę sieciową VersaMem.

Hakerzy próbowali później uzyskać dostęp do innych sieci powiązanych z Versa Network. „Nie ograniczało się to tylko do telekomunikacji, ale również do dostawców usług zarządzanych i dostawców usług internetowych,” powiedział Mike Horka, jeden z badaczy bezpieczeństwa dla TechCrunch. „Te centralne lokalizacje, na które mogą się zdecydować, które następnie zapewniają dodatkowy dostęp.”

Black Lotus Labs oraz Cyberbezpieczeństwo i Agencja Bezpieczeństwa Infrastruktury rządu USA (CISA) zalecają organizacjom aktualizację swoich usług, poszukiwanie działalności złośliwej i zgłaszanie wszelkich ustaleń.