Hacker Cinesi prendono di mira i Provider Internet negli Stati Uniti.

Ricercatori di Lumen Black Lotus Labs rivelano che hacker collegati al governo cinese hanno sfruttato una vulnerabilità nel software di rete e hanno preso di mira i provider di servizi Internet (ISP) negli Stati Uniti.

Secondo il report condiviso martedì, il team di ricerca ha scoperto che attori malintenzionati hanno utilizzato una vulnerabilità zero-day, ovvero una falla di sicurezza che non è stata riconosciuta prima, nei server Versa Director, un servizio fornito da Versa Networks a diversi ISP nel paese.

La vulnerabilità, ora identificata come CVE-2024-39717, è stata annunciata pubblicamente il 22 agosto, ed è stato lanciato un nuovo aggiornamento di sicurezza. Le versioni di Versa Director più vecchie della 22.1.4 potrebbero essere a rischio.

Sulla base delle loro ricerche, gli esperti attribuiscono l’attacco a Volt Typhoon e Bronze Silhouette, due noti attori minacciosi sponsorizzati dallo stato cinese.

Secondo TechCrunch, Volt Typhoon “si concentra sull’attacco alle infrastrutture critiche”, la sua missione è quella di causare “danni nel mondo reale”. Questa organizzazione vuole destabilizzare l’esercito degli Stati Uniti.

I ricercatori hanno scoperto una web shell personalizzata, di natura modulare, collegata alla vulnerabilità che hanno chiamato “VersaMem”, utilizzata “per intercettare e raccogliere credenziali che consentirebbero l’accesso alle reti dei clienti a valle come utente autenticato”.

L’indagine ha anche dettagliato che i dispositivi interessati si trovavano in piccoli uffici e uffici domestici. Black Lotus Labs ha identificato quattro vittime statunitensi e una vittima non statunitense a giugno. Gli attori malevoli hanno ottenuto accesso amministrativo e sono riusciti a distribuire e sfruttare il web shell di VersaMem.

I hacker cercavano in seguito di accedere ad altre reti collegate a Versa Network. “Non si limitava solo alle telecomunicazioni, ma coinvolgeva anche i fornitori di servizi gestiti e i fornitori di servizi Internet”, ha detto Mike Horka, uno dei ricercatori di sicurezza a TechCrunch. “Queste posizioni centrali che possono attaccare, che poi forniscono ulteriori accessi.”

Black Lotus Labs e l’agenzia governativa statunitense per la Sicurezza Informatica e la Sicurezza delle Infrastrutture (CISA) raccomandano alle organizzazioni di aggiornare i loro servizi, cercare attività malevole e segnalare eventuali scoperte.