Mandiant afferma che gli hacker sostenuti dalla Cina hanno sfruttato il Barracuda zero-day per spiare i governi

I ricercatori di sicurezza di Mandiant affermano che gli hacker sostenuti dalla Cina sono probabilmente dietro lo sfruttamento di massa di una falla di sicurezza recentemente scoperta nell'equipaggiamento di sicurezza della posta elettronica di Barracuda Networks, che ha spinto i clienti a rimuovere e sostituire i dispositivi interessati.
Mandiant, che è stato chiamato a gestire la risposta agli incidenti di Barracuda, ha affermato che gli hacker hanno sfruttato la falla per compromettere centinaia di organizzazioni, probabilmente come parte di una campagna di spionaggio a sostegno del governo cinese.
Quasi un terzo delle organizzazioni prese di mira sono agenzie governative, ha affermato Mandiant in un rapporto pubblicato giovedì.
Il mese scorso, Barracuda ha scoperto la falla di sicurezza che colpisce le sue appliance ESG (Email Security Gateway), che si trovano sulla rete di un'azienda e filtrano il traffico e-mail alla ricerca di contenuti dannosi.
Barracuda ha rilasciato patch e ha avvertito che gli hacker stavano sfruttando il difetto dall'ottobre 2022.
Ma la società ha successivamente consigliato ai clienti di rimuovere e sostituire le appliance ESG interessate, indipendentemente dal livello di patch, suggerendo che le patch non funzionavano o non erano in grado di bloccare l'accesso dell'hacker.
Nella sua ultima guida, Mandiant ha anche avvertito i clienti di sostituire le apparecchiature interessate dopo aver trovato prove che gli hacker sostenuti dalla Cina hanno ottenuto un accesso più profondo alle reti delle organizzazioni interessate.
Barracuda ha circa 200.000 clienti aziendali in tutto il mondo.
Barracuda ha dichiarato in una dichiarazione, fornita da Emma Goulding, portavoce di Barracuda tramite la società di pubbliche relazioni Highwire, che circa il 5% dei dispositivi ESG attivi in tutto il mondo ha mostrato prove di compromissione a partire dal 10 giugno.
gruppo di minacce non categorizzato che chiama UNC4841, che condivide l'infrastruttura e le sovrapposizioni di codici malware con altri gruppi di hacker sostenuti dalla Cina.
I ricercatori di Mandiant affermano che il gruppo di minaccia ha sfruttato i difetti ESG di Barracuda per distribuire malware personalizzato, che mantiene l'accesso degli hacker ai dispositivi mentre esfiltra i dati.
Secondo il suo rapporto, Mandiant ha affermato di aver trovato prove che UNC4841 "ha cercato account di posta elettronica appartenenti a persone che lavorano per un governo con interessi politici o strategici per [la Cina] nello stesso momento in cui questo governo vittima stava partecipando a riunioni diplomatiche di alto livello con altri paesi”.
Dato che gran parte degli obiettivi erano entità governative, i ricercatori hanno affermato che ciò supporta la loro valutazione secondo cui il gruppo di minaccia ha una motivazione per raccogliere informazioni, piuttosto che condurre attacchi di dati distruttivi.
Il chief technology officer di Mandiant, Charles Carmakal, ha affermato che gli attacchi contro i clienti Barracuda sono la "più ampia campagna di spionaggio informatico" nota per essere condotta da un gruppo di hacker sostenuto dalla Cina dallo sfruttamento di massa dei server Microsoft Exchange nel 2021, che Mandiant ha anche attribuito alla Cina.
Liu Pengyu, portavoce dell'ambasciata cinese a Washington DC, ha affermato che le accuse secondo cui il governo cinese sostiene l'hacking sta "distorcendo completamente la verità".
“La posizione del governo cinese sulla sicurezza informatica è coerente e chiara.
Ci siamo sempre fermamente opposti e repressi contro tutte le forme di cyber hacking in conformità con la legge", ha affermato il portavoce, accusando anche il governo degli Stati Uniti di violare il diritto internazionale svolgendo attività di spionaggio simili, ma senza fornire prove per le affermazioni.
Aggiornato con il commento di Barracuda.
Barracuda esorta i clienti a rimuovere e sostituire l'hardware vulnerabile sfruttato dagli hacker Mandiant afferma che gli hacker sostenuti dalla Cina hanno sfruttato Barracuda zero-day per spiare i governi di Zack Whittaker originariamente pubblicato su TechCrunch