Sicherheitsforscher von Mandiant sagen, dass wahrscheinlich von China unterstützte Hacker hinter der Massenausnutzung einer kürzlich entdeckten Sicherheitslücke in der E-Mail-Sicherheitsausrüstung von Barracuda Networks stecken, die zu einer Warnung an Kunden führte, die betroffenen Geräte zu entfernen und zu ersetzen.
Mandiant, das mit der Reaktion auf Barracudas Vorfälle beauftragt wurde, sagte, die Hacker hätten die Schwachstelle ausgenutzt, um Hunderte von Organisationen zu kompromittieren, wahrscheinlich im Rahmen einer Spionagekampagne zur Unterstützung der chinesischen Regierung.
Fast ein Drittel der angegriffenen Organisationen seien Regierungsbehörden, sagte Mandiant ein Bericht Donnerstag veröffentlicht.
Letzten Monat entdeckte Barracuda die Sicherheitslücke bei seinen Email Security Gateway (ESG)-Appliances, die sich im Netzwerk eines Unternehmens befinden und den E-Mail-Verkehr nach schädlichen Inhalten filtern. Barrakuda Patches herausgegeben und warnte, dass Hacker die Schwachstelle seit Oktober 2022 ausnutzten. Später empfahl das Unternehmen seinen Kunden jedoch, betroffene ESG-Appliances unabhängig von der Patch-Ebene zu entfernen und zu ersetzen, was darauf hindeutet, dass die Patches fehlgeschlagen sind oder den Zugriff des Hackers nicht blockieren konnten.
In seinen neuesten Leitlinien warnte Mandiant seine Kunden auch davor, betroffene Geräte auszutauschen, nachdem Beweise dafür gefunden wurden, dass die von China unterstützten Hacker tieferen Zugang zu Netzwerken betroffener Organisationen erlangten.
Barracuda hat weltweit rund 200.000 Firmenkunden.
Mandiant führt die Hacks auf eine noch nicht kategorisierte Bedrohungsgruppe namens UNC4841 zurück, die Überschneidungen in Infrastruktur und Malware-Code mit anderen von China unterstützten Hackergruppen aufweist. Die Forscher von Mandiant sagen, dass die Bedrohungsgruppe die Schwachstellen von Barracuda ESG ausgenutzt hat, um benutzerdefinierte Malware bereitzustellen, die den Zugriff der Hacker auf die Geräte aufrechterhält, während sie Daten exfiltriert.
Laut seinem Bericht sagte Mandiant, es habe Beweise dafür gefunden, dass UNC4841 „nach E-Mail-Konten von Personen gesucht hat, die für eine Regierung mit politischem oder strategischem Interesse arbeiten.“ [China] Gleichzeitig nahm diese Opferregierung an hochrangigen diplomatischen Treffen mit anderen Ländern teil.“
Angesichts der Tatsache, dass es sich bei einem großen Teil der Ziele um staatliche Stellen handelte, untermauern die Forscher damit ihre Einschätzung, dass die Bedrohungsgruppe eine Motivation zum Sammeln von Informationen hat, anstatt zerstörerische Datenangriffe durchzuführen.
Charles Carmakal, Chief Technology Officer von Mandiant, sagte, die Hacks gegen Barracuda-Kunden seien die „umfangreichste Cyberspionagekampagne“, die bekanntermaßen von einer von China unterstützten Hackergruppe seit der Massenausbeutung von Microsoft Exchange-Servern im Jahr 2021 durchgeführt wurde, die Mandiant durchgeführt hatte auch zugeschrieben nach China.
Liu Pengyu, ein Sprecher der chinesischen Botschaft in Washington DC, sagte, die Behauptungen, die chinesische Regierung unterstütze Hackerangriffe, würden „die Wahrheit völlig verdrehen“.
„Die Position der chinesischen Regierung zur Cybersicherheit ist konsistent und klar. „Wir haben uns immer strikt gegen alle Formen von Cyber-Hacking ausgesprochen und sie im Einklang mit dem Gesetz bekämpft“, sagte der Sprecher und warf der US-Regierung gleichzeitig vor, mit ähnlichen Spionageaktivitäten gegen internationales Recht zu verstoßen, ohne jedoch Beweise für die Behauptungen vorzulegen.