Especialistas em segurança cibernética da Mandiant, empresa de propriedade do Google Cloud, trazidos pela Barracuda para investigar o hacking dos dispositivos Barracuda Email Security Gateway (ESG), estabeleceram um link para o grupo de hackers que atacou os gateways com a China. A empresa chamou esse grupo de UNC4841. A Barracuda recomenda enfaticamente se livrar dos ESGs hackeados, prometendo fornecer substituições gratuitas.
De acordo com Charles Carmakal, CTO da Mandiant Consulting, a campanha de ciberespionagem foi a maior desde os hacks de bug do Microsoft Exchange Server no início de 2021. “No caso do Barracuda, os invasores comprometeram a segurança de e-mail de centenas de organizações. De algumas das vítimas, eles roubaram os e-mails de funcionários conhecidos que tratam de assuntos de interesse do governo chinês”, acrescentou.
De acordo com Mandiant, o UNC4841 é apoiado pelo estado e realiza missões de reconhecimento para o governo chinês. Interseções de UNC4841 com infraestrutura atribuída a outros espiões chineses também foram encontradas, indicando que Pequim está adotando uma abordagem unificada para suas operações de hackers. “A Mandiant acredita com grande confiança que o UNC4841 estava envolvido em atividades de espionagem em apoio à República Popular da China”, disseram os pesquisadores no relatório.
Fonte da imagem: Barracuda Networks
A Mandiant observou que os hackers mudaram seu malware logo após o lançamento do patch em maio. Além disso, implementam mecanismos adicionais para manter o acesso às redes das vítimas. Depois de invadir redes, os hackers visaram dados específicos “de interesse para exfiltrar” e também tentaram usar componentes comprometidos para infectar outros sistemas.
Durante a campanha de sete meses, o UNC4841 usou três malwares – Saltwater, Seaspy e Seaside – disfarçados de módulos ou serviços Barracuda ESG. Desde a sua divulgação, o UNC4841 vem modificando alguns componentes do Saltwater e do Seaspy para evitar a correção efetiva de vulnerabilidades. A empresa também lançou um novo rootkit na forma de um módulo do kernel do Linux chamado Sandbar, que trojanizou alguns dos módulos oficiais do Barracuda.
«O UNC4841 demonstrou alta sensibilidade aos esforços defensivos e modifica ativamente os TTPs para mantê-los funcionando. A Mandiant encoraja fortemente os clientes afetados do Barracuda a continuar pesquisando esse assunto e investigando as redes afetadas”, disseram os pesquisadores.
Segundo analistas da TrendForce, 284 milhões de smartphones foram produzidos mundialmente no primeiro trimestre, representando…
Até recentemente, a extensão da região ativa de formação estelar em nossa galáxia, a Via…
A Apple alertou os desenvolvedores de que nem todos os seus aplicativos poderão permanecer na…
Embora a Electronic Arts tenha perdido sua licença oficial para a Copa do Mundo da…
A Logitech anunciou o Mobi Fold, um mouse dobrável projetado para uso em movimento. Ele…
A rede de comunicações via satélite Starlink possui tal cobertura e velocidades de transmissão de…