Χάκερς που συνδέονται με την κινέζικη κυβέρνηση χρησιμοποίησε μια μέχρι πρότινος άγνωστη ευπάθεια σε λογισμικό για να στοχεύσει παρόχους υπηρεσιών διαδικτύου στις ΗΠΑ.
Η συμμορία Volt Typhoon, εκμεταλλεύτηκε μια αδυναμία σε ένα πρόγραμμα που λέγεται Versa Director, την οποία (αδυναμία) δεν είχε διορθώσει ακόμα ο κατασκευαστής . Τα ευρήματα προέρχονται από ερευνητές της Black Lotus Labs, οι οποίοι ανήκουν στην εταιρεία κυβερνοασφάλειας Lumen.
Διαβάστε σχετικά: CISA: Οι hackers Volt Typhoon στοχεύουν κρίσιμες υποδομές – Tips προστασίας
Η Versa παρέχει λογισμικό για τη διαχείριση δικτύων και χρησιμοποιείται από παρόχους υπηρεσιών διαδικτύου (ISP) και διαχειριζόμενους παρόχους υπηρεσιών (MSP), καθιστώντας την έτσι «κρίσιμο και ελκυστικό στόχο» για τους χάκερς, όπως επισημαίνουν οι ερευνητές σε έκθεση που δημοσιεύθηκε την Τρίτη.
Αυτή είναι η πιο πρόσφατη ανακάλυψη σχετικά με τις δραστηριότητες της Volt Typhoon, μιας συμμορίας που πιστεύεται ότι δρα για λογαριασμό της κινέζικης κυβέρνησης. Η συμμορία εστιάζει στη στόχευση υποδομών ζωτικής σημασίας, όπως τα δίκτυα επικοινωνίας και τηλεπικοινωνιών, με σκοπό να προκαλέσει «ζημία στον πραγματικό κόσμο» σε πιθανή μελλοντική σύγκρουση με τις Ηνωμένες Πολιτείες. Αξιωματούχοι της κυβέρνησης των ΗΠΑ είχαν δηλώσει νωρίτερα φέτος ότι οι χάκερς επιδιώκουν να διακόψουν οποιαδήποτε στρατιωτική αντίδραση των ΗΠΑ σε μια αναμενόμενη μελλοντική εισβολή στην Ταϊβάν.
Σύμφωνα με ερευνητές της Black Lotus Labs, οι στόχοι των χάκερ ήταν να κλέψουν και να εκμεταλλευτούν διαπιστευτήρια για να στοχεύσουν μελλοντικούς πελάτες των παραβιασμένων εταιρικών θυμάτων. Με άλλα λόγια, οι χάκερς επικεντρώθηκαν στους διακομιστές Versa ως ένα σημείο σύνδεσης, από το οποίο θα μπορούσαν να εισέλθουν σε άλλα δίκτυα που σχετίζονται με τους ευάλωτους servers. Ο Mike Horka, ο ερευνητής ασφαλείας που διερεύνησε το περιστατικό, δήλωσε στο TechCrunch.
«Αυτό δεν περιοριζόταν μόνο στις τηλεπικοινωνίες, αλλά στους διαχειριζόμενους παρόχους υπηρεσιών και στους παρόχους υπηρεσιών Διαδικτύου», είπε ο Χόρκα. «Αυτές οι κεντρικές τοποθεσίες που μπορούν να αναζητήσουν, οι οποίες στη συνέχεια παρέχουν πρόσθετη πρόσβαση». Η Horka είπε ότι αυτές οι εταιρείες διαδικτύου και δικτύωσης αποτελούν οι ίδιες στόχοι, «πολύ πιθανό λόγω της πρόσβασης που θα μπορούσαν ενδεχομένως να παρέχουν σε πρόσθετους πελάτες κατ’επέκταση».
Δείτε επίσης: ΗΠΑ: Οι hackers Volt Typhoon βρίσκονταν σε δίκτυο κρίσιμης υποδομής για 5 χρόνια
Ο Horka είπε ότι βρήκε τέσσερα θύματα στις Ηνωμένες Πολιτείες, δύο ISP, έναν MSP και έναν πάροχο πληροφορικής. και ένα θύμα εκτός των ΗΠΑ, ένας ISP στην Ινδία. Η Black Lotus Labs δεν ανέφερε τα ονόματα των θυμάτων.
Ο Διευθυντής Μάρκετινγκ της Versa, Dan Maier, δήλωσε σε email προς το TechCrunch ότι η εταιρεία έχει επιδιορθώσει το zero-day που εντόπισε η Black Lotus Labs.
«Η Versa επιβεβαίωσε την ευπάθεια και εξέδωσε μια επείγουσα ενημέρωση κώδικα εκείνη τη στιγμή. Από τότε, έχουμε κυκλοφορήσει μια πλήρη επιδιόρθωση την οποία προσφέραμε σε όλους τους πελάτες», ανέφερε ο Maier, προσθέτοντας ότι οι ερευνητές είχαν προειδοποιήσει την εταιρεία για το ελάττωμα στα τέλη Ιουνίου.
Ο Maier δήλωσε στο TechCrunch ότι η Versa κατάφερε να επιβεβαιώσει την ευπάθεια και να παρακολουθήσει τον “APT χάκερ” τη στιγμή που το παραβιάζει.
Διαβάστε περισσότερα: Proofpoint: Χάκερς εκμεταλλεύτηκαν σφάλμα για αποστολή Phishing email
Η Black Lotus Labs ανακοίνωσε ότι ενημέρωσε την αμερικανική υπηρεσία κυβερνοασφάλειας CISA σχετικά με την ευπάθεια zero-day και την εκστρατεία hacking. Την Παρασκευή, η CISA προσέθεσε αυτή την ευπάθεια στη λίστα των γνωστών τρωτών σημείων που έχουν εκμεταλλευτεί. Η υπηρεσία προειδοποίησε ότι «αυτού του είδους οι ευπάθειες είναι συχνά στόχοι επιθέσεων από κακόβουλους φορείς στον κυβερνοχώρο, επιφέροντας σοβαρούς κινδύνους για τις ομοσπονδιακές επιχειρήσεις».
Πηγή: techcrunch
