Servizio Email del Governo U.S. Hacked in una Campagna Mirata

La società di soluzioni di intelligence sulle minacce Mandiant riporta che hacker cinesi hanno mirato e penetrato eccessivamente organizzazioni governative e collegate al governo in attacchi recenti che hanno preso di mira il Barracuda Email Security Gateway, vulnerabilità Zero-Day con un focus specifico su organizzazioni in tutto il America.

Secondo la società di intelligence Mandiant, quasi un terzo dei dispositivi compromessi apparteneva ad agenzie governative, quasi tutti tra ottobre e dicembre 2022.

In particolare, includendo organizzazioni identificate in Nord America, diverse altre stati, città, province, tribù, e uffici comunali sono stati presi di mira in questa campagna.

Detto ciò, complessivamente, il governo locale preso di mira in questa campagna rappresentava poco meno del 7 percento di tutte le organizzazioni identificate come colpite. Tuttavia, questo aumenta drasticamente a quasi il 17 percento se confrontato con il targeting basato negli Stati Uniti.

Sembra che i motivi dell’attacco fossero di spionaggio poiché l’attaccante (identificato come UNC4841) si è impegnato a penetrare nel sistema appartenente a persone di alta autorità nel governo e anche nei settori ad alta tecnologia.

Il gateway di sicurezza email ha informato gli utenti che la vulnerabilità di sicurezza veniva utilizzata per penetrare nei dispositivi del Security Gateway il 20 maggio prima che Barracuda patchasse tutti i dispositivi vulnerabili da remoto.

Circa dieci giorni dopo aver patchato tutti i dispositivi vulnerabili, l’azienda ha anche rivelato che la vulnerabilità zero-day era stata sfruttata negli attacchi per almeno sette mesi da ottobre dello scorso anno per rilasciare un malware sconosciuto e rubare dati dai dispositivi infetti.

Inoltre, l’azienda ha avvertito il cliente una settimana dopo che dovevano sostituire immediatamente i loro apparecchi infetti, inclusi quelli patchati, poiché circa il 5 percento di tutti i dispositivi del Security Gateway erano stati compromessi, secondo la società di intelligence sulle minacce.

Leggi: Instagram Elimina Account Falso di Tim Cook

Come accennato sopra, gli attacchi hanno rilasciato malware sconosciuto, inclusi Saltwater e Seaspy, e uno strumento malevolo chiamato SeaSlide per ottenere accesso remoto ai dispositivi infetti tramite le shell di riserva.

CISA ha anche condiviso informazioni su Submarine, noto anche come DeathCharge e Whirlpool malware che è stato rilasciato nello stesso attacco come payload di fase successiva per mantenere il controllo dopo l’avviso dell’azienda sul piccolo numero di dispositivi infetti appartenenti a quelli che Mandiant pensa siano obiettivi ad alto rischio.

Questo indica che, sebbene la campagna avesse una copertura globale, non era opportunistica, e l’attaccante aveva abbastanza pianificazione e fondi per aspettarsi e prepararsi a incidenti che potrebbero potenzialmente interrompere il loro accesso alla rete mirata.

Il Senior Incident Response Consultant della società di intelligence sulle minacce, Austin Larsen, ha aggiunto che stiamo affrontando avversari formidabili che vantano vasti risorse, finanziamenti e know-how per eseguire con successo una campagna di spionaggio globale senza essere rilevati. Gli attaccanti del Nexus cinese stanno migliorando i loro attacchi per essere più impattanti, furtivi ed efficaci.

Detto ciò, sia Barracuda che Mandiant devono ancora trovare prove di nuovi dispositivi del Security Gateway infetti tramite il CVE-2023-2868 dopo che la vulnerabilità è stata patchata.

In aggiunta a questo, la scorsa settimana, il Federal Bureau of Intelligence ha avvertito che queste patch sono inefficaci poiché i dispositivi continuano a essere infettati negli attacchi in corso.

L’FBI ha anche rafforzato l’avviso di Barracuda ai clienti che dovrebbero separare e poi sostituire il dispositivo infetto il prima possibile, ha consigliato all’azienda di indagare sulla sua rete per possibili intrusioni e li ha esortati a cambiare e ruotare le credenziali private di rete, cioè, Active Directory per confondere i tentativi degli attaccanti di mantenere la persistenza.

Inoltre, l’agenzia di enforcement federale afferma che l’FBI sta monitorando attivamente qualsiasi intrusione e considera i dispositivi del Security Gateway come infetti e vulnerabili a questo exploit.

Inoltre, l’agenzia ha verificato che tutti i dispositivi ESG infetti da Barracuda, inclusi quelli patchati, rimangono a rischio di ulteriori compromissioni dei dispositivi da parte dei presunti attori della minaccia cinese che utilizzano la vulnerabilità.

Leggi: L’Ultimo Aggiornamento di WhatsApp Consente agli Utenti di Modificare le Didaskalie delle Foto: Ecco le Novità