Mandiant می گوید هکرهای مورد حمایت چین از Barracuda zero day برای جاسوسی از دولت ها سوء استفاده کردند.

محققان امنیتی در Mandiant می‌گویند هکرهای تحت حمایت چین احتمالاً در پشت بهره‌برداری انبوه از نقص امنیتی اخیراً کشف شده در تجهیزات امنیتی ایمیل Barracuda Networks هستند که باعث هشدار به مشتریان برای حذف و جایگزینی دستگاه‌های آسیب‌دیده شده است.

Mandiant که برای پاسخگویی به حادثه Barracuda فراخوانده شده بود، گفت که هکرها از این نقص برای به خطر انداختن صدها سازمان به احتمال زیاد به عنوان بخشی از یک کمپین جاسوسی در حمایت از دولت چین سوء استفاده کردند.

Mandiant در گزارشی که روز پنجشنبه منتشر شد، گفت: تقریباً یک سوم سازمان‌های مورد هدف سازمان‌های دولتی هستند.

ماه گذشته، Barracuda متوجه نقص امنیتی شد که بر ابزارهای Email Security Gateway (ESG) خود که در شبکه یک شرکت قرار دارند و ترافیک ایمیل را برای محتوای مخرب فیلتر می‌کنند، تأثیر می‌گذارد. باراکودا وصله‌هایی صادر کرد و هشدار داد که هکرها از اکتبر 2022 از این نقص سوء استفاده کرده‌اند. اما این شرکت بعداً به مشتریان توصیه کرد بدون توجه به سطح وصله، دستگاه‌های ESG آسیب‌دیده را حذف و جایگزین کنند، که نشان می‌دهد وصله‌ها شکست خورده‌اند یا نمی‌توانند دسترسی هکر را مسدود کنند.

Mandiant در آخرین دستورالعمل خود همچنین به مشتریان هشدار داد که پس از یافتن شواهدی مبنی بر اینکه هکرهای تحت حمایت چین به شبکه‌های سازمان‌های آسیب‌دیده دسترسی عمیق‌تری پیدا کرده‌اند، تجهیزات آسیب‌دیده را تعویض کنند.

باراکودا حدود 200000 مشتری شرکتی در سراسر جهان دارد.

Mandiant این هک‌ها را به یک گروه تهدیدی که هنوز دسته‌بندی نشده است نسبت می‌دهد که UNC4841 نامیده می‌شود، که زیرساخت‌ها و کدهای بدافزار را با دیگر گروه‌های هکر تحت حمایت چین به اشتراک می‌گذارد. محققان Mandiant می‌گویند که گروه تهدید از نقص‌های Barracuda ESG برای استقرار بدافزار سفارشی استفاده کرده است که دسترسی هکرها به دستگاه‌ها را در حین استخراج داده‌ها حفظ می‌کند.

طبق گزارش خود، Mandiant گفت که شواهدی پیدا کرده است که نشان می‌دهد UNC4841 «حساب‌های ایمیل متعلق به افرادی را که برای دولتی با منافع سیاسی یا استراتژیک کار می‌کنند، جستجو کرده است. [China] در همان زمان که این دولت قربانی در جلسات دیپلماتیک سطح بالا با سایر کشورها شرکت می کرد.

با توجه به اینکه بخش بزرگی از اهداف، نهادهای دولتی بودند، محققان گفتند که این از ارزیابی آنها حمایت می‌کند که گروه تهدید انگیزه جمع‌آوری اطلاعات به جای انجام حملات داده‌های مخرب دارد.

چارلز کارماکال، مدیر ارشد فناوری Mandiant گفت هک هایی که مشتریان Barracuda را هدف قرار می دهند “گسترده ترین کمپین جاسوسی سایبری” است که توسط یک گروه هکری تحت حمایت چین از زمان بهره برداری انبوه از سرورهای Microsoft Exchange در سال 2021 انجام شده است، که Mandiant نیز آن را به چین نسبت داده است.

لیو پنگیو، سخنگوی سفارت چین در واشنگتن دی سی، گفت که این ادعاها مبنی بر حمایت دولت چین از هک کردن “کاملاً حقیقت را تحریف می کند.”

موضع دولت چین در مورد امنیت سایبری ثابت و روشن است. ما همیشه قاطعانه با همه اشکال هک سایبری مطابق با قانون مخالفت کرده‌ایم و آن را سرکوب کرده‌ایم.» این سخنگو ضمن متهم کردن دولت آمریکا به نقض قوانین بین‌المللی با انجام فعالیت‌های جاسوسی مشابه، بدون ارائه مدرکی برای این ادعاها، گفت.