Los investigadores de seguridad de Mandiant dicen que los piratas informáticos respaldados por China probablemente estén detrás de la explotación masiva de una falla de seguridad descubierta recientemente en el equipo de seguridad de correo electrónico de Barracuda Networks, que provocó una advertencia a los clientes para que retiren y reemplacen los dispositivos afectados.
Mandiant, que fue llamado para ejecutar la respuesta a incidentes de Barracuda, dijo que los piratas informáticos explotaron la falla para comprometer a cientos de organizaciones probablemente como parte de una campaña de espionaje en apoyo del gobierno chino.
Casi un tercio de las organizaciones objetivo son agencias gubernamentales, dijo Mandiant en un informe publicado el jueves.
El mes pasado, Barracuda descubrió la falla de seguridad que afectaba a sus dispositivos Email Security Gateway (ESG), que se encuentran en la red de una empresa y filtran el tráfico de correo electrónico en busca de contenido malicioso. Barracuda emitió parches y advirtió que los piratas informáticos habían estado explotando la falla desde octubre de 2022. Pero la compañía luego recomendó a los clientes que eliminaran y reemplazaran los dispositivos ESG afectados, independientemente del nivel de parche, lo que sugiere que los parches fallaron o no pudieron bloquear el acceso del pirata informático.
En su última guía, Mandiant también advirtió a los clientes que reemplacen el equipo afectado después de encontrar evidencia de que los piratas informáticos respaldados por China obtuvieron un acceso más profundo a las redes de las organizaciones afectadas.
Barracuda tiene alrededor de 200.000 clientes corporativos en todo el mundo.
Mandiant atribuye los ataques a un grupo de amenazas aún sin categorizar al que llama UNC4841, que comparte la infraestructura y el código de malware se superpone con otros grupos de piratería respaldados por China. Los investigadores de Mandiant dicen que el grupo de amenazas explotó las fallas de Barracuda ESG para implementar malware personalizado, que mantiene el acceso de los piratas informáticos a los dispositivos mientras extrae datos.
Según su informe, Mandiant dijo que encontró evidencia de que UNC4841 “buscó cuentas de correo electrónico pertenecientes a personas que trabajan para un gobierno con intereses políticos o estratégicos para [China] al mismo tiempo que este gobierno víctima participaba en reuniones diplomáticas de alto nivel con otros países”.
Dado que una gran parte de los objetivos eran entidades gubernamentales, los investigadores dijeron que esto respalda su evaluación de que el grupo de amenazas tiene una motivación de recopilación de inteligencia, en lugar de realizar ataques destructivos de datos.
El director de tecnología de Mandiant, Charles Carmakal, dijo que los ataques dirigidos a los clientes de Barracuda son la “campaña de espionaje cibernético más amplia” que se sabe realizada por un grupo de piratería respaldado por China desde la explotación masiva de los servidores de Microsoft Exchange en 2021, que Mandiant también atribuyó a China.
Liu Pengyu, portavoz de la embajada china en Washington DC, dijo que las acusaciones de que el gobierno chino apoya la piratería “distorsionan completamente la verdad”.
“La posición del gobierno chino sobre la seguridad cibernética es consistente y clara. Siempre nos hemos opuesto firmemente y tomado medidas enérgicas contra todas las formas de piratería cibernética de conformidad con la ley”, dijo el vocero, al tiempo que acusó al gobierno de EE.
