Mandiant encontra conexão entre hackear gateways de segurança Barracuda ESG e hackers do governo chinês

Especialistas em segurança cibernética da Mandiant, empresa de propriedade do Google Cloud, trazidos pela Barracuda para investigar o hacking dos dispositivos Barracuda Email Security Gateway (ESG), estabeleceram um link para o grupo de hackers que atacou os gateways com a China. A empresa chamou esse grupo de UNC4841. A Barracuda recomenda enfaticamente se livrar dos ESGs hackeados, prometendo fornecer substituições gratuitas.

De acordo com Charles Carmakal, CTO da Mandiant Consulting, a campanha de ciberespionagem foi a maior desde os hacks de bug do Microsoft Exchange Server no início de 2021. “No caso do Barracuda, os invasores comprometeram a segurança de e-mail de centenas de organizações. De algumas das vítimas, eles roubaram os e-mails de funcionários conhecidos que tratam de assuntos de interesse do governo chinês”, acrescentou.

De acordo com Mandiant, o UNC4841 é apoiado pelo estado e realiza missões de reconhecimento para o governo chinês. Interseções de UNC4841 com infraestrutura atribuída a outros espiões chineses também foram encontradas, indicando que Pequim está adotando uma abordagem unificada para suas operações de hackers. “A Mandiant acredita com grande confiança que o UNC4841 estava envolvido em atividades de espionagem em apoio à República Popular da China”, disseram os pesquisadores no relatório.

Fonte da imagem: Barracuda Networks

A Mandiant observou que os hackers mudaram seu malware logo após o lançamento do patch em maio. Além disso, implementam mecanismos adicionais para manter o acesso às redes das vítimas. Depois de invadir redes, os hackers visaram dados específicos “de interesse para exfiltrar” e também tentaram usar componentes comprometidos para infectar outros sistemas.

Durante a campanha de sete meses, o UNC4841 usou três malwares – Saltwater, Seaspy e Seaside – disfarçados de módulos ou serviços Barracuda ESG. Desde a sua divulgação, o UNC4841 vem modificando alguns componentes do Saltwater e do Seaspy para evitar a correção efetiva de vulnerabilidades. A empresa também lançou um novo rootkit na forma de um módulo do kernel do Linux chamado Sandbar, que trojanizou alguns dos módulos oficiais do Barracuda.

«O UNC4841 demonstrou alta sensibilidade aos esforços defensivos e modifica ativamente os TTPs para mantê-los funcionando. A Mandiant encoraja fortemente os clientes afetados do Barracuda a continuar pesquisando esse assunto e investigando as redes afetadas”, disseram os pesquisadores.

avalanche

Postagens recentes

Um minerador de dados explicou por que a Valve ainda não anunciou o Half-Life 3

\nDurante todo o ano de 2025, parecia que o anúncio do mítico jogo de tiro…

2 horas atrás

O sucesso indie Meccha Chameleon se tornou o best-seller de 2026 – 15 milhões de cópias vendidas em um mês

\nO desenvolvedor japonês independente lemorion_1224 relatou novos sucessos do aclamado jogo virtual de esconde-esconde Meccha…

2 horas atrás

O desenvolvedor japonês de piloto automático Turing começou a usar aceleradores AMD em meio ao financiamento desta empresa

A experiência da Nvidia na criação de sistemas para a indústria robótica ajudou-a a ganhar…

4 horas atrás

Lucro trimestral da Samsung deverá aumentar 18 vezes em meio ao boom da IA

\nEsta semana a Samsung Electronics irá partilhar as suas expectativas relativamente ao valor do lucro…

6 horas atrás

A startup de Jim Keller planeja colocar fábricas de chips em uma linha de montagem.

A Atomic Semi, fundada pelo renomado arquiteto de processadores Jim Keller e pelo engenheiro Sam…

16 horas atrás