Un grupo de hackers vinculado al gobierno chino utilizó una vulnerabilidad previamente desconocida en el software para atacar a proveedores de servicios de internet de EE.UU., según encontraron investigadores de seguridad.
El grupo conocido como Volt Typhoon estaba explotando la falla de día cero — lo que significa que el fabricante de software no estaba al tanto de ella antes de tener tiempo para corregirla — en Versa Director, un software creado por Versa Networks, según investigadores de Black Lotus Labs, que forma parte de la empresa de ciberseguridad Lumen.
Versa vende software para gestionar configuraciones de red, y es utilizado por proveedores de servicios de internet (ISPs) y proveedores de servicios gestionados (MSPs), lo que hace que Versa sea un objetivo "crítico y atractivo" para los hackers, escribieron los investigadores en un informe publicado el martes.
Esta es la última descubrimiento de actividades de piratería llevadas a cabo por Volt Typhoon, un grupo que se cree que trabaja para el gobierno chino. El grupo se enfoca en atacar infraestructura crítica, incluyendo redes de comunicación y telecomunicaciones, con el objetivo de causar "daños reales" en caso de un futuro conflicto con los Estados Unidos. Funcionarios del gobierno de EE.UU. testificaron a principios de este año que los hackers tienen como objetivo perturbar cualquier respuesta militar de EE.UU. en una futura invasión anticipada de Taiwán.
Los objetivos de los hackers, según los investigadores de Black Lotus Labs, eran robar y utilizar credenciales en clientes aguas abajo de las víctimas corporativas comprometidas. En otras palabras, los hackers estaban apuntando a servidores de Versa como encrucijadas donde luego podrían pivote a otras redes conectadas a los servidores vulnerables de Versa, dijo Mike Horka, el investigador de seguridad que investigó este incidente, a TechCrunch en una llamada.
"Esto no se limitaba solo a las telecomunicaciones, sino a proveedores de servicios gestionados y proveedores de servicios de internet", dijo Horka. "Estos lugares centrales a los que pueden atacar, que luego proporcionan acceso adicional." Horka dijo que encontró cuatro víctimas en Estados Unidos, dos ISPs, un MSP y un proveedor de IT; y una víctima fuera de EE.UU., un ISP en India. Black Lotus Labs no mencionó a las víctimas.
El Director de Marketing de Versa, Dan Maier, le dijo a TechCrunch en un correo electrónico que la compañía ha parcheado el día cero identificado por Black Lotus Labs.
"Versa confirmó la vulnerabilidad y emitió un parche de emergencia en ese momento. Desde entonces, hemos emitido un parche completo y lo hemos distribuido a todos los clientes", dijo Maier, agregando que los investigadores advirtieron a la compañía sobre la falla a finales de junio.
Maier le dijo a TechCrunch que Versa pudo confirmar la falla y observar al "atacante APT" aprovechándola.
Black Lotus Labs dijo que alertó a la agencia de ciberseguridad de EE.UU. CISA sobre la vulnerabilidad de día cero y la campaña de piratería. El viernes, CISA añadió el día cero a su lista de vulnerabilidades que se sabe que han sido explotadas. La agencia advirtió que "este tipo de vulnerabilidades son vectores de ataque frecuentes para actores cibernéticos maliciosos y representan riesgos significativos para la empresa federal."
