Mandiant encontra conexão entre hackear gateways de segurança Barracuda ESG e hackers do governo chinês

Especialistas em segurança cibernética da Mandiant, empresa de propriedade do Google Cloud, trazidos pela Barracuda para investigar o hacking dos dispositivos Barracuda Email Security Gateway (ESG), estabeleceram um link para o grupo de hackers que atacou os gateways com a China. A empresa chamou esse grupo de UNC4841. A Barracuda recomenda enfaticamente se livrar dos ESGs hackeados, prometendo fornecer substituições gratuitas.

De acordo com Charles Carmakal, CTO da Mandiant Consulting, a campanha de ciberespionagem foi a maior desde os hacks de bug do Microsoft Exchange Server no início de 2021. “No caso do Barracuda, os invasores comprometeram a segurança de e-mail de centenas de organizações. De algumas das vítimas, eles roubaram os e-mails de funcionários conhecidos que tratam de assuntos de interesse do governo chinês”, acrescentou.

De acordo com Mandiant, o UNC4841 é apoiado pelo estado e realiza missões de reconhecimento para o governo chinês. Interseções de UNC4841 com infraestrutura atribuída a outros espiões chineses também foram encontradas, indicando que Pequim está adotando uma abordagem unificada para suas operações de hackers. “A Mandiant acredita com grande confiança que o UNC4841 estava envolvido em atividades de espionagem em apoio à República Popular da China”, disseram os pesquisadores no relatório.

Fonte da imagem: Barracuda Networks

A Mandiant observou que os hackers mudaram seu malware logo após o lançamento do patch em maio. Além disso, implementam mecanismos adicionais para manter o acesso às redes das vítimas. Depois de invadir redes, os hackers visaram dados específicos “de interesse para exfiltrar” e também tentaram usar componentes comprometidos para infectar outros sistemas.

Durante a campanha de sete meses, o UNC4841 usou três malwares – Saltwater, Seaspy e Seaside – disfarçados de módulos ou serviços Barracuda ESG. Desde a sua divulgação, o UNC4841 vem modificando alguns componentes do Saltwater e do Seaspy para evitar a correção efetiva de vulnerabilidades. A empresa também lançou um novo rootkit na forma de um módulo do kernel do Linux chamado Sandbar, que trojanizou alguns dos módulos oficiais do Barracuda.

«O UNC4841 demonstrou alta sensibilidade aos esforços defensivos e modifica ativamente os TTPs para mantê-los funcionando. A Mandiant encoraja fortemente os clientes afetados do Barracuda a continuar pesquisando esse assunto e investigando as redes afetadas”, disseram os pesquisadores.