Hackers Chinos Apuntan a Proveedores de Internet en EE. UU.
Investigadoras de Lumen Black Lotus Labs revelan que hackers vinculados al gobierno chino han explotado una vulnerabilidad en el software de red y han dirigido sus ataques a los proveedores de servicios de internet (ISP) en los Estados Unidos.
De acuerdo con el informe compartido el martes, el equipo de investigación descubrió que los actores maliciosos utilizaron una vulnerabilidad de día cero, una falla de seguridad que no se ha reconocido antes, en los servidores de Versa Director, un servicio proporcionado por Versa Networks a múltiples ISPs en el país.
La vulnerabilidad, ahora identificada como CVE-2024-39717, fue anunciada públicamente el 22 de agosto, y se ha lanzado una nueva actualización de seguridad. Las versiones de Versa Director anteriores a la 22.1.4 podrían estar en riesgo.
Basándose en su investigación, los expertos atribuyen el ataque a Volt Typhoon y Bronze Silhouette, dos actores de amenazas conocidos patrocinados por el estado chino.
Según TechCrunch, Volt Typhoon “se enfoca en atacar la infraestructura crítica”, y su misión consiste en causar “daño real”. Esta organización desea interrumpir al ejército de los EE. UU.
Los investigadores descubrieron una terminal web personalizada, de naturaleza modular, vinculada a la vulnerabilidad a la que llamaron “VersaMem”, utilizada “para interceptar y recolectar credenciales que permitirían el acceso a las redes de los clientes downstream como un usuario autenticado”.
La investigación también detalló que los dispositivos afectados se encontraban en pequeñas oficinas y oficinas en casa. Black Lotus Labs reconoció a cuatro víctimas de Estados Unidos y a una víctima no estadounidense en junio. Los actores maliciosos lograron acceso administrativo y consiguieron desplegar y explotar la web shell de VersaMem.
Los hackers intentaban acceder posteriormente a otras redes vinculadas a Versa Network. “Esto no se limitaba solo a las telecomunicaciones, sino también a los proveedores de servicios gestionados y a los proveedores de servicios de internet”, dijo Mike Horka, uno de los investigadores de seguridad a TechCrunch. “Estos lugares centrales a los que pueden atacar, que luego proporcionan acceso adicional”.
Black Lotus Labs y la Agencia de Seguridad de Ciberseguridad e Infraestructura del gobierno de EE. UU. (CISA) recomiendan que las organizaciones actualicen sus servicios, busquen actividades maliciosas e informen cualquier hallazgo.
Dejar un comentario
Cancelar