Un recente rapporto di Black Lotus Labs indica che un gruppo di hacker, sospettati di essere legati al governo cinese, ha sfruttato una vulnerabilità zero-day nel software Versa Director utilizzato da vari provider di servizi Internet (ISP). Questa violazione ha permesso loro di infiltrarsi in molteplici aziende Internet statunitensi e internazionali, potenzialmente prendendo di mira personale governativo e militare sotto copertura, nonché gruppi di interesse strategico per la Cina.
Dettagli dell’attacco
- Vulnerabilità Zero-Day: Gli hacker hanno sfruttato una vulnerabilità identificata come CVE-2024-39717. Questa vulnerabilità è particolarmente preoccupante poiché colpisce il software di gestione fondamentale per garantire la sicurezza delle operazioni di rete in tutti gli ISP.
- Utilizzo di malware: Gli attaccanti hanno impiegato malware personalizzato noto come “VersaMem”, che opera interamente in memoria, rendendolo difficile da rilevare. Questo malware cattura i dettagli di accesso degli utenti e manipola il codice Java dei server vulnerabili.
- Vittime identificate: Sono state confermate quattro vittime statunitensi e una vittima straniera, con gli attacchi ritenuti in corso contro i sistemi non aggiornati.
Attribuzione e risposta
Black Lotus Labs ha attribuito gli attacchi con moderata fiducia ad attori di minacce sponsorizzati dallo stato cinese noti come Volt Typhoon e Bronze Silhouette. Questa attribuzione si basa su tattiche e tecniche osservate coerenti con precedenti operazioni cyber cinesi.
In risposta alla situazione, Lumen Technologies ha esortato gli utenti di Versa Director ad aggiornare alla versione 22.1.4 o successiva per mitigare i rischi associati a questa vulnerabilità.
Negazione del governo cinese
Alla luce di queste accuse, i funzionari cinesi hanno negato qualsiasi coinvolgimento, affermando che il gruppo Volt Typhoon è semplicemente un’organizzazione di cybercriminali ransomware e non sponsorizzata dallo stato.
Questo incidente sottolinea le preoccupazioni continue riguardo allo spionaggio cibernetico cinese e le sue implicazioni per la sicurezza nazionale statunitense, in particolare in relazione alle infrastrutture critiche e alle operazioni governative sensibili.