Due gruppi di hacker, uno dei quali legato alla Cina, hanno sfruttato negli ultimi mesi una vulnerabilità del software Pulse Secure per spiare le organizzazioni della difesa, finanziarie e del settore pubblico negli Stati Uniti e in Europa.
Lo rivela in un lungo articolo FireEye, azienda statunitense di cybersecurity, evidenziando come le intrusioni siano ancora in corso. Gli aggressori, secondo l’azienda, stanno sfruttando una combinazione di vulnerabilità nel software di rete privata virtuale (VPN) di Pulse Secure, software utilizzato da governi e organizzazioni per gestire i dati sulle loro reti.
Secondo Mandiant, l’unità di risposta agli incidenti acquistata da FireEye nel 2013, uno dei gruppi di hacking in questione utilizza tecniche simili a quelle del Governo cinese: “Sospettiamo che queste intrusioni siano in linea con gli obiettivi di raccolta dati e di intelligence della Cina”, ha dichiarato alla Reuters Charles Carmakal, vicepresidente e CTO di Mandiant.
Earlier today, we disclosed a Pulse Secure vulnerability we’ve seen exploited by suspected China-linked hackers to target defense, gov, & financial orgs.
— FireEye (@FireEye) April 20, 2021
Here’s what Charles Carmakal, SVP & CTO of @Mandiant had to say about the activity. via @Reuters https://t.co/ANwZd6dJvL pic.twitter.com/r3npsncl9Y
Vulnerabilità Pulse Secure: legate 12 diverse famiglie di malware
FireEye ha rifiutato di nominare gli obiettivi degli hacker, identificandoli solo come “difesa, governo e organizzazioni finanziarie in tutto il mondo”. Ha detto che il gruppo di hacker sospettati di lavorare per conto di Pechino era particolarmente concentrato sull’industria della difesa statunitense.
Secondo gli analisti di Mandiant, esistono almeno 12 diverse famiglie di malware legati allo sfruttamento del software Pulse Secure VPN. Secondo Mandiant, diversi gruppi di agenti informatici hanno probabilmente scritto il proprio codice per ottenere un accesso persistente alle reti che eseguono il software.
Sul suo sito web, Pulse Secure ha pubblicato le misure di mitigazione per la nuova vulnerabilità. Tuttavia, la soluzione finale non sarà disponibile fino a maggio. “C’è un nuovo problema, scoperto questo mese, che ha interessato un numero molto limitato di clienti. Il team ha lavorato rapidamente per fornire mitigazioni direttamente ai nostri clienti interessati. Rilasceremo un aggiornamento software all’inizio di maggio. Per ulteriori informazioni, visitare l’avviso di sicurezza SA44784 (CVE-2021-22893) “, scrive Phil Richards, CSO di Pulse Secure. “Inoltre, abbiamo sviluppato uno strumento semplice, efficiente e facile da usare in modo che i clienti possano valutare le installazioni dei loro prodotti e vedere se hanno subito impatti dovuti a problemi. Lo strumento Pulse Security Integrity Checker è ora disponibile; incoraggiamo i nostri clienti a usarlo e stiamo lavorando con loro per farlo “, afferma Richards.
L’ambasciata cinese a Washington non ha risposto immediatamente a una richiesta di commento. Pulse Secure VPN è stato uno dei programmi vulnerabili che gli hacker associati al Ministero della sicurezza statale cinese hanno utilizzato per infiltrarsi nel governo degli Stati Uniti e nelle reti private già lo scorso anno. Anche agenti del servizio di intelligence straniero russo SVR hanno sfruttato il software nelle loro attività di spionaggio.