Группа хакеров, связанных с китайским правительством, использовала ранее неизвестную уязвимость в программном обеспечении, чтобы атаковать поставщиков интернет-услуг в США, обнаружили исследователи по безопасности.
Группа, известная как Volt Typhoon, использовала нулевую дыру в безопасности - что означает, что разработчик программного обеспечения не был про неё в курсе до того, как у него было время исправить её - в программа Versa Director, созданную компанией Versa Networks, согласно исследователям из Black Lotus Labs, которая является частью кибербезопасности Lumen.
Versa продает программное обеспечение для управления сетевыми конфигурациями, и используется провайдерами интернет-услуг (ISP) и поставщиками управляемых услуг (MSP), что делает Versa "критической и привлекательной мишенью" для хакеров, говорится в отчете исследователей, опубликованном во вторник.
Это последнее открытие хакерских действий, проводимых Volt Typhoon, группой, которая, как считается, работает на китайское правительство. Группа сосредотачивается на атаках на критическую инфраструктуру, включая сети связи и телекоммуникаций, с целью вызвать "реальный вред" в случае будущего конфликта с Соединенными Штатами. Официальные лица правительства США заверили ранее в этом году, что хакеры стремятся нарушить любой военный ответ США в будущем предполагаемом вторжении на Тайвань.
Цель хакеров, по мнению исследователей Black Lotus Labs, заключалась в том, чтобы похитить и использовать учетные данные у клиентов, связанных с компрометированными корпоративными жертвами. Другими словами, хакеры нацеливались на сервера Versa как на перекрестки, где они могли бы затем перейти в другие сети, подключенные к уязвимым серверам Versa, сообщил TechCrunch по телефону Майк Хорка, исследователь по безопасности, расследовавший это происшествие.
Связаться с нами
У вас есть дополнительная информация о группе Volt Typhoon или других правительственных хакерских действиях? С устройства, не связанного с работой, вы можете обратиться к Лоренцо Франчески-Бикьерай безопасно по Сигналу на +1 917 257 1382, или через Telegram и Keybase @lorenzofb, или по электронной почте. Вы также можете связаться с TechCrunch через SecureDrop."Это не ограничивалось только телекоммуникациями, но включало провайдеров управления и интернет-провайдеров," - сказал Хорка. "Это центральные места, которые они могут атаковать, и затем обеспечивать дополнительный доступ." Хорка добавил, что эти интернет- и сетевые компании сами являются целями, "скорее всего из-за доступа, который они могли бы потенциально предоставить дополнительным клиентам".
Хорка сказал, что он обнаружил четыре жертвы в Соединенных Штатах, два ISP, один MSP и один поставщик ИТ услуг; и одна жертва за пределами США, ISP в Индии. Black Lotus Labs не назвала жертв.
Дэн Майер, главный маркетолог Верса, сообщил TechCrunch в электронном письме, что компания исправила обнаруженную Black Lotus Labs нулевую уязвимость.
"Верса подтвердила уязвимость и выпустила экстренный патч на тот момент. Мы впоследствии выпустили обширный патч и распространили его среди всех клиентов", - сказал Майер, добавив, что исследователи предупредили компанию о дыре в безопасности в конце июня.
Майер рассказал TechCrunch, что сама Верса смогла подтвердить уязвимость и наблюдать за "APT-хакером", пользующимся ею.
Black Lotus Labs сообщила организации по кибербезопасности США CISA о нулевой уязвимости и кампании взлома. В пятницу CISA добавила нулевой день в свой список уязвимостей, которые, как известно, были использованы хакерами. Организация предупредила, что "эти типы уязвимостей являются частыми векторами атак для зловредных киберакторов и представляют значительные риски для федерального предприятия".
