Hackers Chineses Atacam Provedores de Internet nos EUA

Pesquisadores da Lumen Black Lotus Labs revelam que hackers ligados ao governo chinês exploraram uma vulnerabilidade em software de rede e visaram provedores de serviços de internet (ISP) nos Estados Unidos.

De acordo com o relatório compartilhado na terça-feira, a equipe de pesquisa descobriu que atores maliciosos usaram uma vulnerabilidade zero-day – uma falha de segurança que não foi reconhecida anteriormente – em servidores Versa Director, um serviço fornecido pela Versa Networks a vários ISPs no país.

A vulnerabilidade, agora identificada como CVE-2024-39717, foi anunciada publicamente em 22 de agosto, e uma nova atualização de segurança foi lançada. As versões do Diretor Versa mais antigas que 22.1.4 podem estar em risco.

Com base em suas pesquisas, especialistas atribuem o ataque a Volt Typhoon e Bronze Silhouette, dois atores de ameaças conhecidos patrocinados pelo estado chinês.

De acordo com a TechCrunch, a Volt Typhoon “se concentra em mirar infraestruturas críticas”, sua missão é causar “danos reais”. Esta organização quer perturbar o exército dos EUA.

Pesquisadores descobriram um shell web personalizado, com uma natureza modular, ligado à vulnerabilidade que eles chamaram de “VersaMem”, usado “para interceptar e colher credenciais que permitiriam o acesso às redes dos clientes downstream como um usuário autenticado.”

A investigação também detalhou que os dispositivos afetados estavam localizados em pequenos escritórios e home offices. A Black Lotus Labs identificou quatro vítimas dos EUA e uma vítima não americana em junho. Os atores mal-intencionados obtiveram acesso administrativo e conseguiram implantar e explorar a web shell VersaMem.

Os hackers estavam tentando posteriormente acessar outras redes vinculadas à Versa Network. “Isso não se limitou apenas às telecomunicações, mas também aos provedores de serviços gerenciados e provedores de serviços de internet”, disse Mike Horka, um dos pesquisadores de segurança ao TechCrunch. “Esses locais centrais que eles podem atacar, que então fornecem acesso adicional.”

Os Black Lotus Labs e a Agência de Segurança Cibernética e Infraestrutura do governo dos EUA (CISA) recomendam que as organizações atualizem seus serviços, procurem por atividades maliciosas e relatem quaisquer descobertas.