
Mandiant afirma que los piratas informáticos respaldados por China explotaron el día cero de Barracuda para espiar a los gobiernos
Los investigadores de seguridad de Mandiant dicen que es probable que los piratas informáticos respaldados por China estén detrás de la explotación masiva de una falla de seguridad descubierta recientemente en el equipo de seguridad de correo electrónico de Barracuda Networks, que ha alentado a los clientes a eliminar y reemplazar los dispositivos afectados.
Mandiant, quien fue llamado para manejar la respuesta al incidente de Barracuda, dijo que los piratas informáticos aprovecharon la laguna para comprometer a cientos de organizaciones, probablemente como parte de una campaña de espionaje en apoyo del gobierno chino.
Casi un tercio de las organizaciones atacadas son agencias gubernamentales, dijo Mandiant en un informe lanzado el jueves.
El mes pasado, Barracuda descubrió la falla de seguridad que afectaba a sus dispositivos Email Security Gateway (ESG), que se encuentran en la red de una empresa y filtran el tráfico de correo electrónico en busca de contenido malicioso. Barracuda correcciones publicadas y advirtió que los piratas informáticos habían estado explotando la falla desde octubre de 2022. Pero la compañía luego recomendó que los clientes eliminaran y reemplazaran los dispositivos ESG afectados independientemente del nivel de parche, lo que sugiere que los parches fallaron o no pudieron bloquear el acceso del pirata informático.
En sus últimas pautas, Mandiant también advirtió a los clientes que reemplacen el equipo afectado después de encontrar evidencia de que los piratas informáticos respaldados por China habían obtenido un acceso más profundo a las redes de las organizaciones afectadas.
Barracuda tiene aproximadamente 200 000 clientes empresariales en todo el mundo.
Mandiant atribuye los ataques a un grupo de amenazas aún no categorizado al que llama UNC4841, que comparte infraestructura y superposiciones de códigos maliciosos con otros grupos de piratería respaldados por China. Los investigadores de Mandiant dicen que el grupo de amenazas explotó las fallas de Barracuda ESG para implementar malware personalizado, que mantiene el acceso de los piratas informáticos a los dispositivos mientras extraen datos.
Según su informe, Mandiant dijo que encontró evidencia de que UNC4841 «buscó cuentas de correo electrónico pertenecientes a personas que trabajan para un gobierno con un interés político o estratégico en [China] al mismo tiempo que este gobierno victimizado participaba en reuniones diplomáticas de alto nivel con otros países.
Dado que una gran parte de los objetivos eran entidades gubernamentales, los investigadores dijeron que esto respalda su evaluación de que el grupo de amenazas tiene una motivación de recopilación de inteligencia, en lugar de llevar a cabo ataques destructivos de datos.
El CTO de Mandiant, Charles Carmakal, dijo que los ataques dirigidos a los clientes de Barracuda son la «campaña de espionaje cibernético de mayor alcance» que se sabe que ha llevado a cabo un grupo de piratas informáticos respaldado por China desde la explotación masiva de los servidores de Microsoft Exchange en 2021, que Mandiant también asignado en China.
Liu Pengyu, portavoz de la Embajada de China en Washington DC, dijo que las afirmaciones de que el gobierno chino apoya el hackeo «distorsionan completamente la verdad».
“La posición del gobierno chino sobre ciberseguridad es consistente y clara. Siempre nos hemos opuesto enérgicamente y reprimimos todas las formas de piratería cibernética de conformidad con la ley”, dijo el vocero, al tiempo que acusó al gobierno de EE.