3 min lectura
Un grupo de hackers explotó una vulnerabilidad de "día cero" en Versa Director, un software utilizado por varios proveedores de servicios de Internet (ISP) para asegurar sus operaciones de red. Según Black Lotus Labs, el brazo de investigación de amenazas y operaciones de Lumen Technologies, los hackers lograron comprometer varias empresas de Internet en los EE. UU. y en el extranjero.
Lumen cree que los ataques pueden provenir de China.
“Basado en tácticas y técnicas conocidas y observadas, Black Lotus Labs atribuye la explotación de día cero de CVE-2024-39717 y el uso operativo de la cáscara web VersaMem con moderada confianza a los actores de amenazas patrocinados por el estado chino conocidos como Volt Typhoon y Bronze Silhouette”, dijo Lumen.
Los investigadores de Lumen identificaron a cuatro víctimas en Estados Unidos y una víctima extranjera. Según el Washington Post, "se cree que los objetivos incluyen personal gubernamental y militar que trabaja de incógnito y grupos de interés estratégico para China."
China negó las acusaciones. “Volt Typhoon’ es en realidad un grupo de ciberdelincuentes de ransomware que se hace llamar ‘Dark Power’ y no está patrocinado por ningún estado o región,” dijo el portavoz de la embajada Liu Pengyu al Washington Post. La misma declaración fue compartida el 15 de abril por Lin Jian, portavoz del Ministerio de Relaciones Exteriores de China, con el Global Times.
La explotación "probablemente continúa contra sistemas Versa Director no parcheados," según los investigadores.
De acuerdo con los hallazgos, Volt Typhoon utilizó un web shell especializado llamado 'VersaMem' para capturar los detalles de inicio de sesión de los usuarios. VersaMem, una pieza de software malicioso complejo, funciona adjuntándose a diferentes procesos y manipulando el código Java de servidores vulnerables. VersaMem opera completamente en memoria, lo que lo hace particularmente difícil de detectar.
La explotación se dirigió a servidores de Versa Director. Estos servidores suelen ser utilizados por proveedores de servicios de Internet y proveedores de servicios gestionados, lo que los convierte en un objetivo atractivo para actores de amenazas que buscan ampliar su alcance a través de configuraciones de gestión de redes empresariales.
Versa Networks reconoció la vulnerabilidad el lunes, confirmando que había sido explotada "en al menos una instancia conocida".
Lumen dice que el web shell VersaMem se cargó por primera vez en el agregador de malware VirusTotal el 7 de junio, solo unos días antes de la primera explotación observada. El malware se compiló usando Apache Maven, con comentarios en caracteres chinos descubiertos en el código. Hasta mediados de agosto, aún no tenía detecciones por parte del software antivirus.
Brandon Wales, ex director ejecutivo de la Agencia de Ciberseguridad e Infraestructura de EE. UU. (CISA), dijo recientemente a The Record que los piratas informáticos chinos han mejorado sus habilidades para atacar instalaciones clave de EE. UU. y enfatizó la necesidad de aumentar las inversiones en ciberseguridad.
“China continúa apuntando a la infraestructura crítica de EE. UU.,” afirmó en una entrevista. “La exposición de los esfuerzos de Volt Typhoon ha resultado obviamente en cambios en las tácticas, el oficio que están utilizando, pero sabemos que continúan todos los días intentando comprometer la infraestructura crítica de EE. UU.”
La firma de ciberseguridad enfatizó la gravedad de la vulnerabilidad y la sofisticación de los atacantes.
Decrypt-a-cookie
This website or its third-party tools use cookies. Cookie policy By clicking the accept button, you agree to the use of cookies.