Mandiant (de propriedade do Google Cloud) e Barracuda Networks, de acordo com a ComputerWeekly, confirmaram que o hackeamento do Barracuda Email Security Gateway (ESG) foi realizado por hackers chineses agindo no interesse de agências governamentais chinesas. Em junho, a Barracuda Networks informou aos clientes que o problema não poderia ser consertado e, portanto, os gateways afetados deveriam simplesmente ser descartados.
Em maio deste ano, a Barracuda Networks relatou que os invasores usaram uma vulnerabilidade de dia zero para comprometer dispositivos ESG. A falha CVE-2023-2868 permite que código arbitrário seja executado remotamente. As vítimas incluíram Samsung, Delta Airlines, Mitsubishi e Kraft Heinz. Posteriormente, a empresa estabeleceu uma ligação entre o grupo de hackers que atacou os gateways e a China. Este Comando Cibernético foi denominado UNC4841. Diz-se que os alvos da UNC4841 eram principalmente estruturas governamentais nos EUA e no Canadá, bem como no Reino Unido. Segundo o FBI, gateways vulneráveis de diversas organizações ainda estão conectados à Rede, mas não são observados ataques repetidos.
Imagem Fonte: Pixabay.com
Mandiant relata que o grupo UNC4841 está tentando manter o acesso aos ambientes comprometidos mais importantes usando vários malwares – Skipjack, Depthcharge, Foxtrot e Foxglove. Os três primeiros são backdoors, enquanto o Foxglove atua como um lançador do Foxtrot. Estima-se que pouco mais de 15% das vítimas sejam agências governamentais e pouco mais de 10% sejam autoridades locais. O ataque também afetou empresas e organizações de TI que operam em áreas como telecomunicações, manufatura, educação, indústria aeroespacial e de defesa. Mandiant afirma que UNC4841 está conduzindo operações de espionagem especificamente para benefício do Estado chinês.