Osumnjičeni kineski hakeri nesrazmjerno su ciljali i probili vlade i organizacije povezane s njima širom svijeta u nedavnim napadima usmjerenim na Barracuda Email Security Gateway (ESG) zero-day, s fokusom na entitete širom Amerike.
Gotovo trećina hakovanih uređaja u ovoj kampanji pripadala je vladinim agencijama, većina njih između oktobra i decembra 2022. godine, prema izvještaju Mandiant-a objavljenom danas.
“Među sjevernoameričkim identifikovanim pogođenim organizacijama, bilo je brojnih državnih, pokrajinskih, okružnih, plemenskih i gradskih ureda koji su bili meta ove kampanje”, rekao je Mandiant.
“Dok cjelokupno ciljanje lokalne samouprave čini nešto manje od sedam posto svih identifikovanih pogođenih organizacija, ova statistika se povećava na skoro sedamnaest posto u poređenju samo s ciljanjem u SAD.”
Motivacija napada bila je špijunaža, pri čemu je haker (praćen kao UNC4841) bio uključen u ciljanu eksfiltraciju iz sistema koji pripadaju visokoprofiliranim korisnicima u vladinim i visokotehnološkim vertikalama.
Barracuda je upozorila kupce da se ranjivost iskorištava za probijanje ESG uređaja 20. maja, kada je također daljinski zakrpila sve ranjive uređaje.
Deset dana kasnije, kompanija je takođe objavila da je zero-day greška bila zloupotrebljavana u napadima najmanje sedam meseci, počevši od oktobra 2022. godine, da bi se ubacio ranije nepoznati malver i ukrali podaci iz kompromitovanih sistema.
Kupci su upozoreni nedelju dana kasnije da moraju odmah da zamene hakovane uređaje , čak i one koji su već zakrpljeni (otprilike 5% svih ESG uređaja je probijeno u napadima, navodi Mandiant).
Napadači su primjenili ranije nepoznati malware, uključujući SeaSpy i Saltwater, i maliciozni alat, SeaSide, kako bi dobili daljinski pristup kompromitovanim sistemima putem obrnutih shell-ova.
CISA je takođe podijelila detalje o Submarine (aka DepthCharge) i Whirlpool malware-u koji je bio raspoređen u istim napadima kao payload-i u kasnijoj fazi da bi se održala postojanost nakon savjeta Barracuda od 20. maja o malom broju prethodno kompromitovanih uređaja koji pripadaju onome što Mandiant vjeruje da su visokovrijedne mete.
Ovo “sugeriše da uprkos globalnoj pokrivenosti ove operacije, ona nije bila oportunistička i da je UNC4841 imao adekvatno planiranje i finansiranje da predvidi i pripremi se za nepredviđene situacije koje bi potencijalno mogle poremetiti njihov pristup ciljnim mrežama”, rekao je Mandiant u današnjem izvještaju.
“Mi se borimo sa ogromnim protivnicima koji se mogu pohvaliti značajnim resursima, finansiranjem i znanjem za uspješno izvođenje globalnih špijunskih kampanja neotkriveno. Špijuni hakeri povezani sa Kinom poboljšavaju svoje operacije kako bi bile upečatljivije, prikrivenije i učinkovitije”, Austin Larsen, Mandiant Senior Incident Response Consultant, rekao je za BleepingComputer.
FBI: Barracuda ESG uređaji i dalje pod vatrom
Dok Mandiant i Barracuda tek treba da pronađu dokaze da su novi ESG uređaji kompromitovani putem CVE-2023-2868 eksploatacije nakon što su zakrpljeni, FBI je prošle sedmice upozorio da su zakrpe “neefikasne” i da se zakrpljeni uređaji još uvijek kompromituju u toku napada.
Američka federalna agencija za sprovođenje zakona također je pojačala Barracudino upozorenje kupcima da bi trebali izolirati i zamijeniti hakovane uređaje što je prije moguće, savjetovala im je da istraže svoje mreže u potrazi za potencijalnim probojima i pozvala ih da povuku i rotiraju privilegirane kredencijale (npr. Active Direktorij) kako bi se osujetili pokušaji hakera da održe postojanost mreže.
“FBI nastavlja posmatrati aktivne upade i smatra da su svi pogođeni uređaji Barracuda ESG ugroženi i ranjivi na ovu eksploataciju”, navodi agencija.
“FBI je nezavisno potvrdio da su svi eksploatisani ESG uređaji, čak i oni sa zakrpama koje je izbacila Barracuda, i dalje izloženi riziku od kontinuiranog kompromitovanja računarske mreže od strane osumnjičenih hakera iz PRC-a koji iskorištavaju ovu ranjivost.”
Barracudine sigurnosne proizvode koristi više od 200.000 organizacija širom svijeta, uključujući vladine subjekte i kompanije visokog profila.
Izvor: BleepingComputer