Servicio de correo electrónico del gobierno de EE. UU. hackeado en una campaña dirigida

La firma de soluciones de inteligencia de amenazas Mandiant informa que hackers chinos han atacado y penetrado excesivamente organizaciones gubernamentales y vinculadas al gobierno en ataques recientes que apuntaron al Gateway de Seguridad de Correo Electrónico de Barracuda, una vulnerabilidad de día cero con un enfoque específico en organizaciones de toda América.

Según la firma de inteligencia Mandiant, casi un tercio de los dispositivos hackeados pertenecían a agencias gubernamentales, casi todos ellos entre octubre y diciembre de 2022.

Notablemente, incluyendo organizaciones identificadas en América del Norte, varios otros estados, pueblos, provincias, tribus, ciudades y oficinas municipales fueron atacados en esta campaña.

Dicho esto, en general, el gobierno local atacado en esta campaña representó poco menos del 7 por ciento de todas las organizaciones afectadas identificadas. Sin embargo, esto aumenta drásticamente a casi el 17 por ciento en comparación con el objetivo basado en EE. UU.

Parece que los motivos del ataque eran espiar, ya que el atacante (identificado como UNC4841) se involucró en la penetración del sistema que pertenecía a personas de alta autoridad en el gobierno y también a los sectores de alta tecnología.

El gateway de seguridad de correo electrónico informó a los usuarios que la falla de seguridad estaba siendo utilizada para infiltrarse en los dispositivos del Gateway de Seguridad el 20 de mayo, antes de que Barracuda parcheara todos los dispositivos vulnerables de forma remota.

Aproximadamente diez días después de parchear todos los dispositivos vulnerables, la empresa también reveló que la vulnerabilidad de día cero también había sido explotada en los ataques durante al menos siete meses desde octubre del año pasado para liberar un malware desconocido y robar datos de los dispositivos infectados.

Además, la empresa advirtió a los clientes una semana después que debían reemplazar sus aparatos infectados de inmediato, incluidos aquellos parcheados, ya que aproximadamente el 5 por ciento de todos los dispositivos del Gateway de Seguridad han sido comprometidos, según la firma de inteligencia de amenazas.

Leer: Instagram elimina cuenta falsa de Tim Cook

Como se mencionó anteriormente, los ataques soltaron malware desconocido, incluyendo Saltwater y Seaspy, y una herramienta maliciosa llamada SeaSlide para obtener acceso remoto a los dispositivos infectados a través de las shells de reserva.

CISA también compartió información sobre Submarine, también conocido como DeathCharge y Whirlpool, malware que fue soltado en el mismo ataque como un payload de etapa posterior para mantener el control después del aviso de la empresa sobre el pequeño número de dispositivos infectados que pertenecen a lo que Mandiant piensa que son los objetivos de alto riesgo.

Esto indica que, aunque la campaña tuvo cobertura global, no fue oportunista, y el atacante tuvo suficiente planificación y fondos para esperar y prepararse para incidentes que podrían interrumpir su acceso a la red objetivo.

El Consultor Senior de Respuesta a Incidentes de la firma de inteligencia de amenazas, Austin Larsen, agregó que estamos lidiando con adversarios formidables que cuentan con vastos recursos, financiamiento y conocimientos para ejecutar una campaña de espionaje global sin ser detectados con éxito. Los atacantes del Nexus de China están mejorando sus ataques para que sean más impactantes, sigilosos y efectivos.

Dicho esto, tanto Barracuda como Mandiant aún no han encontrado evidencia de nuevos dispositivos del Gateway de Seguridad infectados a través del CVE-2023-2868 después de que la falla fue parcheada.

Además de esto, la semana pasada, el Buró Federal de Inteligencia advirtió que estos parches son ineficaces ya que los dispositivos aún están siendo infectados en los ataques en curso.

El FBI también reforzó la advertencia de Barracuda a los clientes de que deben separar y luego reemplazar el dispositivo infectado lo antes posible, aconsejando a la empresa que investigue su red en busca de posibles intrusiones, y les instó a cambiar y rotar las credenciales privadas de la red, es decir, Active Directory, para confundir los intentos de los atacantes de mantener la persistencia.

Además, la agencia de aplicación de la ley federal dice que el FBI está observando activamente cualquier intrusión y considera que los dispositivos del Gateway de Seguridad están infectados y son vulnerables a esta explotación.

Además, la agencia ha verificado que todos los dispositivos ESG infectados de Barracuda, incluidos aquellos parcheados, siguen en riesgo de compromisos continuos de dispositivos por parte de los sospechosos actores de amenaza de China que utilizan la falla.

Leer: La última actualización de WhatsApp permite a los usuarios editar los subtítulos de fotos: aquí está la primicia