Служба электронной почты правительства США была взломана в целенаправленной кампании

Фирма по анализу угроз Mandiant сообщает, что китайские хакеры активно нацеливались и взломали государственные и связанные с правительством организации в недавних атаках, нацеленных на Barracuda Email Security Gateway, уязвимость нулевого дня с конкретным фокусом на организации по всей Америке.

Согласно данным аналитической фирмы Mandiant, почти треть взломанных устройств принадлежала государственным учреждениям, почти все из них были взломаны в период с октября по декабрь 2022 года.

Примечательно, что, включая организации, идентифицированные в Северной Америке, несколько других штатов, городов, провинций, племен, городов и офисов городских властей также стали целями этой кампании.

С учетом сказанного, в целом местное правительство, на которое нацелились в этой кампании, составило чуть менее 7 процентов всех идентифицированных затронутых организаций. Однако это резко увеличивается до почти 17 процентов, если сравнивать с нацеливанием на основе США.

Похоже, что мотивы атаки заключались в шпионаже, так как злоумышленник (идентифицированный как UNC4841) занимался взломом системы, принадлежащей высокопоставленным лицам в правительстве, а также высокотехнологичным вертикалям.

Шлюз безопасности электронной почты уведомил пользователей о том, что уязвимость безопасности использовалась для взлома устройств Security Gateway 20 мая, прежде чем Barracuda удаленно исправила все уязвимые устройства.

Примерно через десять дней после исправления всех уязвимых устройств компания также сообщила, что уязвимость нулевого дня также использовалась в атаках как минимум в течение семи месяцев с октября прошлого года для распространения неизвестного вредоносного ПО и кражи данных с зараженных устройств.

Более того, компания предупредила клиентов через неделю, что им следует немедленно заменить свои зараженные устройства, включая те, которые были исправлены, так как примерно 5 процентов всех устройств Security Gateway были скомпрометированы, согласно данным аналитической фирмы по угрозам.

Читать: Instagram удаляет фальшивый аккаунт Тима Кука

Как упоминалось выше, атаки сбрасывали неизвестное вредоносное ПО, включая Saltwater и Seaspy, а также вредоносный инструмент под названием SeaSlide для получения удаленного доступа к зараженным устройствам через резервные оболочки.

CISA также поделилась информацией о Submarine, также известном как DeathCharge и Whirlpool, вредоносном ПО, которое было сброшено в той же атаке как полезная нагрузка на более позднем этапе для поддержания контроля после уведомления компании о небольшом количестве зараженных устройств, принадлежащих, как считает Mandiant, целям с высокими ставками.

Это указывает на то, что, хотя кампания имела глобальное покрытие, она не была оппортунистической, и злоумышленник имел достаточно планирования и средств, чтобы ожидать и готовиться к инцидентам, которые могли бы потенциально нарушить их доступ к целевой сети.

Старший консультант по реагированию на инциденты аналитической фирмы по угрозам Остин Ларсен добавил, что мы имеем дело с грозными противниками, которые обладают огромными ресурсами, финансированием и знаниями для успешного выполнения глобальной шпионской кампании незамеченными. Атакующие из Китая улучшают свои атаки, чтобы они были более значительными, скрытными и эффективными.

Тем не менее, как Barracuda, так и Mandiant еще не нашли доказательства каких-либо новых устройств Security Gateway, зараженных через CVE-2023-2868 после исправления уязвимости.

Кроме того, на прошлой неделе Федеральное бюро расследований предупредило, что эти патчи неэффективны, так как устройства все еще заражаются в ходе продолжающихся атак.

ФБР также подтвердило предупреждение Barracuda клиентам о том, что им следует отделить и затем заменить зараженное устройство как можно скорее, посоветовало компании проверить свою сеть на возможные взломы и призвало их изменить и ротировать частные сетевые учетные данные, т.е. Active Directory, чтобы запутать попытки злоумышленников сохранить постоянство.

Кроме того, федеральное правоохранительное агентство заявляет, что ФБР активно следит за любыми вторжениями и считает устройства Security Gateway зараженными и уязвимыми к этой уязвимости.

Более того, агентство подтвердило, что все устройства ESG, зараженные Barracuda, включая те, которые были исправлены, остаются под угрозой дальнейших компрометаций устройств со стороны подозреваемых китайских злоумышленников, использующих эту уязвимость.

Читать: Последнее обновление WhatsApp позволяет пользователям редактировать подписи к фотографиям: вот подробности