Un grupo conocido como Volt Typhoon vinculados al gobierno chino utilizó una vulnerabilidad previamente desconocida para atacar a los proveedores de servicios de Internet de EE.UU., según investigadores de Black Lotus Labs, que es parte de la firma de ciberseguridad Lumen.
Se cree que Volt Typhoon (aka Bronze Silhouette) trabaja para el gobierno chino y se centra en atacar infraestructuras críticas, incluidas redes de comunicaciones y telecomunicaciones, con el objetivo de causar "daños en el mundo real en caso de un futuro conflicto con Estados Unidos". Funcionarios del gobierno estadounidense testificaron a principios de este año que los atacantes pretenden perturbar cualquier respuesta militar estadounidense en una futura invasión anticipada de Taiwán.
El grupo chino estaba explotando la falla Zero-Day, identificada como CVE-2024-39717 y anunciada públicamente el 22 de agosto de 2024, en Versa Director, un software creado por Versa Networks.
Versa vende software para gestionar configuraciones de red y es utilizado por proveedores de servicios de Internet (ISP) y proveedores de servicios gestionados (MSP), lo que convierte a Versa en "un objetivo crítico y atractivo" para los delincuentes informáticos, escribieron los investigadores en un informe publicado el martes.
Los objetivos, según los investigadores de Black Lotus Labs, era robar y utilizar credenciales en clientes intermedios de las víctimas corporativas comprometidas. En otras palabras, los atacantes apuntaban a los servidores Versa como punto de apoyo para luego acceder a otras redes conectadas a los servidores de Versa vulnerables.
Se encontraron cuatro víctimas en Estados Unidos, dos ISP, un MSP y un proveedor de TI; y una víctima fuera de EE.UU., un ISP en India. Black Lotus Labs no nombró a las víctimas.
"Versa confirmó la vulnerabilidad y emitió un parche de emergencia en ese momento. Desde entonces hemos emitido un parche completo y lo hemos distribuido a todos los clientes", dijo Maier, añadiendo que los investigadores advirtieron a la empresa sobre la falla a finales de junio.
Black Lotus Labs dijo que alertó a la agencia estadounidense de ciberseguridad CISA sobre la vulnerabilidad de día cero y la campaña activa. El viernes, CISA añadió el día cero a su lista de vulnerabilidades explotadas.
Fuente: TechCrunch