Un grupo de piratas informáticos vinculados al gobierno chino utilizó una vulnerabilidad de software desconocida hasta entonces para atacar a proveedores de servicios de Internet estadounidenses, según han descubierto investigadores de seguridad.
Según los investigadores de Black Lotus Labs, que forma parte de la empresa de ciberseguridad Lumen, el grupo conocido como Volt Typhoon aprovechaba el fallo de día cero, es decir, que el fabricante del software no lo conocía antes de tener tiempo de parchearlo, en Versa Director, un programa informático fabricado por Versa Networks.
Versa vende software para gestionar configuraciones de red, y es utilizado por proveedores de servicios de Internet (ISP) y proveedores de servicios gestionados (MSP), lo que hace de Versa «un objetivo crítico y atractivo» para los hackers, escribieron los investigadores en un informe publicado el martes.
Se trata del último descubrimiento de actividades de piratería informática llevadas a cabo por Volt Typhoon, un grupo que se cree que trabaja para el gobierno chino. El grupo se centra en atacar infraestructuras críticas, incluidas redes de comunicación y telecomunicaciones, con el objetivo de causar «daños en el mundo real» en caso de un futuro conflicto con Estados Unidos. Funcionarios del gobierno estadounidense declararon a principios de este año que el objetivo de los hackers es perturbar cualquier respuesta militar estadounidense en una futura invasión anticipada de Taiwán.
Los objetivos de los hackers, según los investigadores de Black Lotus Labs, eran robar y utilizar las credenciales de los clientes de las víctimas corporativas comprometidas. En otras palabras, los hackers apuntaban a los servidores Versa como encrucijadas en las que luego podían pivotar hacia otras redes conectadas a los servidores Versa vulnerables, dijo Mike Horka, el investigador de seguridad que investigó este incidente.
«Esto no se limitaba solo a las telecomunicaciones, sino a los proveedores de servicios gestionados y a los proveedores de servicios de Internet», dijo Horka. «Estas ubicaciones centrales que pueden perseguir, que luego proporcionan acceso adicional». Horka dijo que estas empresas de Internet y redes son objetivos en sí mismas, «muy probablemente debido al acceso que potencialmente podrían proporcionar a los clientes posteriores adicionales.»
Horka dijo que encontró cuatro víctimas en Estados Unidos, dos ISP, un MSP y un proveedor de TI; y una víctima fuera de Estados Unidos, un ISP en India. Black Lotus Labs no dio el nombre de las víctimas.
El director de marketing de Versa, Dan Maier, dijo que la compañía ha parcheado el día cero identificado por Black Lotus Labs.
«Versa confirmó la vulnerabilidad y emitió un parche de emergencia en ese momento. Desde entonces hemos publicado un parche completo y lo hemos distribuido a todos los clientes», dijo Maier, añadiendo que los investigadores advirtieron a la empresa del fallo a finales de junio.
Maier declaró que la propia Versa pudo confirmar el fallo y observar cómo el «atacante APT» se aprovechaba de él.
Black Lotus Labs dijo que alertó a la agencia de ciberseguridad estadounidense CISA de la vulnerabilidad de día cero y de la campaña de pirateo. El viernes, CISA añadió el día cero a su lista de vulnerabilidades que se sabe que han sido explotadas. La agencia advirtió de que «este tipo de vulnerabilidades son vectores de ataque frecuentes para ciberactores maliciosos y plantean riesgos significativos para la empresa federal».