Serviço de E-mail do Governo dos EUA Hackeado em uma Campanha Direcionada

A empresa de soluções de inteligência de ameaças Mandiant relata que hackers chineses atacaram excessivamente e invadiram organizações governamentais e ligadas ao governo em ataques recentes que visaram o Barracuda Email Security Gateway, uma vulnerabilidade de dia zero com foco específico em organizações em toda a América.

De acordo com a empresa de inteligência Mandiant, quase um terço dos dispositivos hackeados pertenciam a agências governamentais, quase todos entre outubro e dezembro de 2022.

Notavelmente, incluindo organizações identificadas na América do Norte, vários outros estados, cidades, províncias, tribos, e escritórios municipais foram alvos nesta campanha.

Dito isso, no geral, o governo local visado nesta campanha representou pouco menos de 7 por cento de todas as organizações afetadas identificadas. No entanto, isso aumenta drasticamente para quase 17 por cento quando comparado ao direcionamento baseado nos EUA.

Parece que os motivos do ataque eram de espionagem, já que o atacante (identificado como UNC4841) se envolveu em invadir o sistema que pertencia a pessoas de alta autoridade no governo e também nos setores de alta tecnologia.

O gateway de segurança de e-mail informou aos usuários que a falha de segurança estava sendo utilizada para invadir os dispositivos do Security Gateway em 20 de maio, antes que a Barracuda corrigisse todos os dispositivos vulneráveis remotamente.

Cerca de dez dias após corrigir todos os dispositivos vulneráveis, a empresa também revelou que a vulnerabilidade de dia zero também havia sido explorada nos ataques por pelo menos sete meses desde outubro do ano passado para liberar um malware desconhecido e roubar dados dos dispositivos infectados.

Além disso, a empresa alertou o cliente uma semana depois que eles deveriam substituir seus aparelhos infectados imediatamente, incluindo aqueles corrigidos, já que aproximadamente 5 por cento de todos os dispositivos do Security Gateway foram comprometidos, de acordo com a empresa de inteligência de ameaças.

Leia: Instagram Deleta Conta Falsa de Tim Cook

Como mencionado acima, os ataques liberaram malware desconhecido, incluindo o Saltwater e Seaspy, e uma ferramenta maliciosa chamada SeaSlide para obter acesso remoto aos dispositivos infectados via shells de reserva.

A CISA também compartilhou informações sobre Submarine, também conhecido como DeathCharge e Whirlpool, malware que foi liberado no mesmo ataque como um payload de estágio posterior para manter o controle após o aviso da empresa sobre o pequeno número de dispositivos infectados pertencentes ao que a Mandiant acredita serem os alvos de alto risco.

Isso indica que, embora a campanha tenha cobertura global, não foi oportunista, e o atacante teve planejamento e recursos suficientes para esperar e se preparar para incidentes que poderiam possivelmente interromper seu acesso à rede visada.

O Consultor Sênior de Resposta a Incidentes da empresa de inteligência de ameaças, Austin Larsen, acrescentou que estamos lidando com adversários formidáveis que possuem vastos recursos, financiamento e know-how para executar uma campanha de espionagem global sem serem detectados com sucesso. Os atacantes do Nexus da China estão aprimorando seus ataques para serem mais impactantes, furtivos e eficazes.

Dito isso, tanto a Barracuda quanto a Mandiant ainda não encontraram evidências de novos dispositivos do Security Gateway infectados via CVE-2023-2868 após a falha ter sido corrigida.

Além disso, na semana passada, o Federal Bureau of Intelligence alertou que esses patches são ineficazes, pois os dispositivos ainda estão sendo infectados nos ataques em andamento.

O FBI também reforçou o aviso da Barracuda aos clientes de que eles deveriam separar e, em seguida, substituir o dispositivo infectado o mais rápido possível, aconselhou a empresa a investigar sua rede para possíveis invasões e os instou a mudar e rotacionar credenciais privadas da rede, ou seja, Active Directory, para confundir as tentativas dos atacantes de manter a persistência.

Além disso, a agência de aplicação da lei federal afirma que o FBI está monitorando ativamente qualquer intrusão e considera que os dispositivos do Security Gateway estão infectados e vulneráveis a essa exploração.

Além disso, a agência verificou que todos os dispositivos ESG da Barracuda infectados, incluindo aqueles corrigidos, permanecem em risco de compromissos contínuos de dispositivos por parte dos suspeitos atores de ameaça da China que utilizam a falha.

Leia: A Última Atualização do WhatsApp Permite que Usuários Editem Legendas de Fotos: Aqui Está a Novidade