Sicherheitsforscher haben herausgefunden, dass eine Gruppe von Hackern mit Verbindungen zur chinesischen Regierung eine bislang unbekannte Schwachstelle in einer Software ausgenutzt hat, um US-Internetdienstanbieter anzugreifen.
Die Gruppe bekannt als Volt Taifun hat die Zero-Day-Schwachstelle in Versa Director ausgenutzt – was bedeutet, dass der Softwarehersteller nichts davon wusste, bevor er Zeit hatte, den Patch zu installieren. Dies geht aus der Aussage von Forschern bei Black Lotus Labs, das zum Cybersicherheitsunternehmen Lumen gehört. Die Schwachstelle wurde von Versa Networks entwickelt und war nicht bekannt.
Versa vertreibt Software zur Verwaltung von Netzwerkkonfigurationen und wird von Internetdienstanbietern (ISPs) und Managed Service Providern (MSPs) verwendet, was Versa zu einem „kritischen und attraktiven Ziel“ für Hacker macht, schrieben die Forscher in ein am Dienstag veröffentlichter Bericht.
Dies ist die jüngste Entdeckung von Hackerangriffen durch Volt Typhoon, eine Gruppe, die vermutlich für die chinesische Regierung arbeitet. Die Gruppe konzentriert sich auf kritische Infrastrukturen, darunter Kommunikations- und Telekommunikationsnetze, mit dem Ziel, im Falle eines zukünftigen Konflikts mit den Vereinigten Staaten „realen Schaden“ anzurichten. US-Regierungsbeamte sagten Anfang des Jahres aus, dass die Hacker darauf abzielen, jede militärische Reaktion der USA bei einer künftigen Invasion Taiwans zu stören.
Die Ziele der Hacker bestanden laut den Forschern von Black Lotus Labs darin, die Anmeldeinformationen der Kunden der betroffenen Firmen zu stehlen und zu verwenden. Mit anderen Worten: Die Hacker zielten auf die Versa-Server als Knotenpunkt ab, von wo aus sie in andere Netzwerke einsteigen konnten, die mit den anfälligen Versa-Servern verbunden waren, sagte Mike Horka, der Sicherheitsforscher, der diesen Vorfall untersuchte, in einem Telefonat mit Tech.
Kontaktieren Sie uns
Haben Sie weitere Informationen zu Volt Typhoon oder anderen staatlich geförderten Hackeraktivitäten? Von einem privaten Gerät aus können Sie Lorenzo Franceschi-Bicchierai sicher über Signal unter +1 917 257 1382, über Telegram und Keybase @lorenzofb oder per E-Mail kontaktieren. Sie können Tech auch über SecureDrop kontaktieren.
„Dies beschränkte sich nicht nur auf Telekommunikationsunternehmen, sondern auch auf Managed Service Provider und Internet Service Provider“, sagte Horka. „Sie können diese zentralen Standorte angreifen, die dann zusätzlichen Zugang bieten.“ Horka sagte, diese Internet- und Netzwerkunternehmen seien selbst Ziele, „sehr wahrscheinlich wegen des Zugangs, den sie möglicherweise zusätzlichen nachgelagerten Kunden bieten könnten.“
Horka sagte, er habe vier Opfer in den USA gefunden, zwei ISPs, einen MSP und einen IT-Anbieter; und ein Opfer außerhalb der USA, einen ISP in Indien. Black Lotus Labs nannte die Namen der Opfer nicht.
Dan Maier, Chief Marketing Officer von Versa, teilte Tech in einer E-Mail mit, dass das Unternehmen den von Black Lotus Labs identifizierten Zero-Day-Fehler gepatcht habe.
„Versa hat die Sicherheitslücke bestätigt und damals einen Notfall-Patch herausgegeben. Wir haben inzwischen einen umfassenden Patch herausgegeben und diesen an alle Kunden verteilt“, sagte Maier und fügte hinzu, dass Forscher das Unternehmen Ende Juni vor dem Fehler gewarnt hätten.
Maier sagte gegenüber Tech, dass Versa selbst den Fehler bestätigen und beobachten konnte, wie der „APT-Angreifer“ ihn ausnutzte.
Black Lotus Labs gab an, die US-amerikanische Cybersicherheitsbehörde CISA über die Zero-Day-Sicherheitslücke und die Hackerkampagne informiert zu haben. Am Freitag teilte CISA mit, hat den Zero-Day hinzugefügt zu seiner Liste der Schwachstellen hinzugefügt, von denen bekannt ist, dass sie ausgenutzt wurden. Die Agentur warnte, dass „diese Art von Schwachstellen häufige Angriffsvektoren für böswillige Cyber-Akteure sind und erhebliche Risiken für die Bundesbehörden darstellen.“