Китайские хакеры атакуют интернет-провайдеров в США.

Исследователи из Lumen Black Lotus Labs сообщают, что хакеры, связанные с китайским правительством, использовали уязвимость в сетевом программном обеспечении и атаковали поставщиков интернет-услуг (ISP) в Соединенных Штатах.

Согласно отчету, опубликованному во вторник, исследовательская группа обнаружила, что злоумышленники использовали уязвимость нулевого дня — безопасностный пробел, который не был замечен ранее, в серверах Versa Director, услуге, предоставляемой Versa Networks многим ISP в стране.

Уязвимость, теперь идентифицированная как CVE-2024-39717, была обнародована 22 августа, и было запущено новое обновление безопасности. Версии Versa Director старше 22.1.4 могут быть под угрозой.

На основании своих исследований, эксперты связывают атаку с Volt Typhoon и Bronze Silhouette, двумя известными актёрами угроз, спонсируемыми китайским государством.

Согласно информации TechCrunch, Volt Typhoon «сосредотачивает свое внимание на критически важной инфраструктуре», его миссия — причинение «реального вреда». Эта организация хочет сорвать работу военных США.

Исследователи обнаружили специально разработанный веб-оболочку с модульной структурой, связанную с уязвимостью, которую они назвали «VersaMem». Она используется «для перехвата и сбора учетных данных, что позволит получить доступ к сетям клиентов в качестве аутентифицированного пользователя».

В ходе расследования также было установлено, что затронутыми оказались устройства, расположенные в малых офисах и домашних офисах. Black Lotus Labs выявила четырех жертв из США и одну не из США в июне. Злонамеренные актеры получили административный доступ и смогли развернуть и эксплуатировать веб-оболочку VersaMem.

Хакеры пытались позже получить доступ к другим сетям, связанным с Versa Network. «Это не ограничивалось только телекоммуникациями, но и включало поставщиков управляемых услуг и интернет-провайдеров», — сказал Майк Хорка, один из исследователей безопасности для TechCrunch. «Это центральные места, которые они могут атаковать, что в свою очередь обеспечивает дополнительный доступ».

Лаборатории Black Lotus и Агентство по кибербезопасности и безопасности инфраструктуры правительства США (CISA) рекомендуют организациям обновить свои сервисы, проследить за злонамеренной активностью и сообщить о любых обнаруженных фактах.