Μια ομάδα hacking με συνδέσεις στην Κίνα εκμεταλλεύτηκε μια ευπάθεια του Barracuda Networks Email Security Gateway (ESG) για να παραβιάσει τον κυβερνητικό, στρατιωτικό, άμυνας και αεροδιαστημικού, υψηλής τεχνολογίας και τηλεπικοινωνιών τομέα, στο πλαίσιο μιας παγκόσμιας εκστρατείας κατασκοπίας.
Δείτε επίσης: QakBot, SocGholish και Raspberry Robin: Οι πιο δημοφιλείς malware loaders του 2023
Σχεδόν το ένα τρίτο των συσκευών που χακαρίστηκαν σε αυτήν την εκστρατεία ανήκαν σε κυβερνητικούς φορείς, με την πλειονότητα από αυτές να σημειώνονται μεταξύ Οκτωβρίου και Δεκεμβρίου 2022, σύμφωνα με έκθεση της Mandiant που δημοσιεύθηκε σήμερα.
Το κίνητρο των επιθέσεων ήταν η κατασκοπεία, με τον απειλητικό παράγοντα (που ανιχνεύεται ως UNC4841) να ασχολείται με εξειδικευμένη εξαγωγή πληροφοριών από συστήματα που ανήκουν σε χρήστες υψηλού προφίλ στον κυβερνητικό και υψηλής τεχνολογίας τομέα.
Την 20η Μαΐου, η Barracuda προειδοποίησε τους πελάτες της ότι η ευπάθεια αξιοποιήθηκε για να παραβιάζονται συσκευές ESG. Ταυτόχρονα, παρείχε ενημέρωση για όλες τις ευπάθειες συσκευές μέσω απομακρυσμένης ενημέρωσης.
Δέκα ημέρες αργότερα, η εταιρεία αποκάλυψε επίσης ότι το zero-day σφάλμα είχε χρησιμοποιηθεί σε επιθέσεις για τουλάχιστον επτά μήνες, από τουλάχιστον τον Οκτώβριο του 2022, για να εγκαταστήσει προηγουμένως άγνωστο κακόβουλο λογισμικό και να κλέψει δεδομένα από παραβιασμένα συστήματα.
Οι πελάτες προειδοποιήθηκαν μία εβδομάδα αργότερα ότι πρέπει να αντικαταστήσουν αμέσως τις αποκρυπτογραφημένες συσκευές, ακόμη και αυτές που έχουν ήδη ενημερωθεί (περίπου 5% όλων των συσκευών ESG παραβιάστηκαν στις επιθέσεις, σύμφωνα με τη Mandiant).
Οι επιτιθέμενοι χρησιμοποίησαν προηγουμένως άγνωστο κακόβουλο λογισμικό, συμπεριλαμβανομένων των SeaSpy και Saltwater, καθώς και ενός κακόβουλου εργαλείου, του SeaSide, για να αποκτήσουν απομακρυσμένη πρόσβαση στα παραβιασμένα συστήματα μέσω reverse shells.
Η CISA μοιράστηκε και λεπτομέρειες σχετικά με το Submarine (γνωστό και ως DepthCharge) και το κακόβουλο λογισμικό Whirlpool που αναπτύχθηκε στις ίδιες επιθέσεις με τα payload μεταγενέστερου σταδίου για να διατηρήσει την επιμονή μετά τη συμβουλή της Barracuda στις 20 Μαΐου σε έναν μικρό αριθμό προηγουμένως παραβιασμένων συσκευών που ανήκαν σε αυτό που η Mandiant πιστεύει ότι ήταν υψηλής αξίας στόχοι.
Αυτό “υποδηλώνει ότι παρά την παγκόσμια κάλυψη αυτής της επιχείρησης, δεν ήταν ευκαιριακή και ότι ο κακόβουλος παράγοντας UNC4841 είχε επαρκή σχεδιασμό και χρηματοδότηση για να προβλέψει και να προετοιμαστεί για απρόοπτα που θα μπορούσαν ενδεχομένως να διαταράξουν την πρόσβασή τους σε δίκτυα-στόχους”, δήλωσε ο Mandiant στη σημερινή του έκθεση.
Δείτε επίσης: Η ομάδα Rhysida ransomware αναλαμβάνει την ευθύνη της επίθεσης στο PGCPS
Δείτε επίσης: Επίθεση ransomware πλήττει την οργάνωση Ohio History Connection
FBI: Οι συσκευές Barracuda ESG εξακολουθούν να αντιμετωπίζουν προβλήματα
Ενώ η Mandiant και η Barracuda δεν έχουν βρει ακόμη στοιχεία ότι οι νέες συσκευές ESG έχουν παραβιαστεί μέσω CVE-2023-2868 exploits μετά την επιδιόρθωση τους, το FBI προειδοποίησε την περασμένη εβδομάδα ότι οι ενημερώσεις κώδικα είναι “αναποτελεσματικές” και ότι οι επιδιορθωμένες συσκευές εξακολουθούν να παραβιάζονται σε εν εξελίξη επιθέσεις.
Το FBI ενίσχυσε και την προειδοποίηση της Barracuda προς τους πελάτες, υπογραμμίζοντας ότι θα πρέπει να απομονώσουν και να αντικαταστήσουν τις χακαρισμένες συσκευές όσο το δυνατόν συντομότερα. Τους συνιστά να ερευνήσουν τις δικτυακές τους υποδομές για πιθανές παραβιάσεις και τους παροτρύνει να ανακαλέσουν και να αλλάξουν τα εντεταλμένα δικαιώματα της επιχείρησης (π.χ. Active Directory) για να ανατρέψουν τις προσπάθειες των επιτιθέμενων να διατηρήσουν το persistence στο δίκτυο.
Τα προϊόντα ασφαλείας της Barracuda χρησιμοποιούνται από περισσότερες από 200.000 οργανώσεις παγκοσμίως, συμπεριλαμβανομένων κυβερνητικών φορέων και εταιρειών υψηλού προφίλ.
Πηγή πληροφοριών: bleepingcomputer.com
 για να παραβιάσει...){kind=link}