Los investigadores de seguridad cibernética de Mandiant de Google Cloud han vinculado la explotación de una vulnerabilidad de día cero existente en un subconjunto limitado de dispositivos Barracuda Email Security Gateway (ESG) con un actor de amenazas China-nexus previamente no rastreado, al que ahora se le ha asignado la designación UNC4841.
CVE-2023-2968 se reveló en mayo de 2023, pero probablemente se explotó a partir de octubre de 2022 en adelante. Es una vulnerabilidad de inyección de comando remoto que conduce a la ejecución remota de código (RCE) con privilegios elevados, presente en un número limitado de dispositivos ESG con números de versión 5.1.3.001 a 9.2.0.006. Desde la divulgación, desafortunadamente se supo que el parche de Barracuda no solucionó completamente el problema, con el resultado de que se aconsejó a los propietarios del hardware afectado que obtengan un reemplazo.
Charles Carmakal, CTO de Mandiant Consulting, Google Cloud, dijo que la campaña china había sido muy amplia.
“Esta es la campaña de espionaje cibernético más amplia conocida realizada por un actor de amenazas del nexo entre China desde la explotación masiva de Microsoft Exchange a principios de 2021”, dijo Carmakal.
“En el caso de Barracuda, el actor de amenazas comprometió los dispositivos de seguridad de correo electrónico de cientos de organizaciones. Para un subconjunto de víctimas, robaron los correos electrónicos de empleados destacados que se ocupaban de asuntos de interés para el gobierno chino”. añadió.
Según el equipo de investigación de Mandiant, que en este compromiso estaba compuesto por Austin Larsen, John Palmisano, Mathew Potaczek, John Wolfram, Nino Isakovic y Matthew McWhirt, UNC4841 es un actor respaldado por el estado que trabaja en apoyo de los objetivos de inteligencia del gobierno chino.
Se ha descubierto que su infraestructura contiene varios puntos de superposición con los atribuidos a otros actores de espionaje chinos; el equipo sospecha que esto indica que Beijing está adoptando un enfoque conjunto para su adquisición de TI.
Se ha observado apuntar “agresivamente” a datos de interés para la exfiltración en organismos del sector público y privado en 16 países, con aproximadamente un tercio de las víctimas identificadas por Mandiant como agencias gubernamentales. En particular, UNC4841 parece estar interesado en los ministerios de relaciones exteriores de los miembros de la ASEAN, y las oficinas de comercio exterior y las organizaciones académicas de investigación en Hong Kong y Taiwán.
Los correos electrónicos de phishing que utilizó para obtener acceso estaban enlazados con archivos adjuntos TAR especialmente diseñados, y los correos electrónicos en sí mismos generalmente contenían señuelos genéricos de asunto y cuerpo de correo electrónico, en algunos casos con valores de marcador de posición. Mandiant dijo que esto probablemente se hizo para que los correos electrónicos aparecieran como spam genérico en los sistemas de sus víctimas y disuadieran a los analistas de seguridad de investigarlos.
Durante el transcurso de la campaña de siete meses, UNC4841 usó tres familias de códigos, denominadas Saltwater, Seaspy y Seaside, todas las cuales intentaron hasta cierto punto hacerse pasar por módulos o servicios Barracuda ESG.
Esta tendencia continúa, dijo Mandiant, y desde la divulgación inicial de Barracuda, UNC4841 ha estado trabajando arduamente para modificar algunos de los componentes de Saltwater y Seaspy para evitar parches efectivos. También ha introducido un nuevo rootkit en forma de un módulo kernel de sistema de archivos de red troyano para Linux, denominado Sandbar. También ha troyanizado algunos módulos legítimos de Barracuda Lua que están siendo rastreados como Seaspray y Skipjack.
“UNC4841 ha demostrado tener una gran capacidad de respuesta a los esfuerzos defensivos y modifica activamente los TTP para mantener sus operaciones. Mandiant recomienda enfáticamente que los clientes de Barracuda afectados continúen buscando a este actor e investiguen las redes afectadas”, dijo el equipo.
“Esperamos que UNC4841 continúe alterando sus TTP y modificando su conjunto de herramientas, especialmente a medida que los defensores de la red continúan tomando medidas contra este adversario y su actividad está más expuesta por la comunidad infosec.
Agregaron: “Mandiant felicita a Barracuda por sus acciones decisivas, transparencia e intercambio de información luego de la explotación de CVE-2023-2868 por UNC4841. La respuesta a la explotación de esta vulnerabilidad por parte de UNC4841 y la investigación posterior requirieron la colaboración entre Mandiant, Barracuda y múltiples socios gubernamentales y de inteligencia.
“Mandiant fue posible gracias a la experiencia de los ingenieros de Barracuda, quienes proporcionaron un conocimiento específico invaluable del producto, así como datos de telemetría de la flota completa de dispositivos ESG. Los datos proporcionados por Barracuda permitieron a Mandiant comprender el alcance completo, investigar a escala y monitorear la actividad posterior de los atacantes”.
Un portavoz de Barracuda dijo: “A partir del 8 de junio de 2023, aproximadamente el 5 % de los dispositivos ESG activos en todo el mundo han mostrado evidencia de indicadores conocidos de compromiso debido a la vulnerabilidad. A pesar de la implementación de parches adicionales basados en IOC conocidos, seguimos viendo evidencia de actividad de malware en curso en un subconjunto de los dispositivos comprometidos. Por lo tanto, nos gustaría que los clientes reemplacen cualquier dispositivo comprometido con un nuevo dispositivo no afectado.
“Hemos notificado a los clientes afectados por este incidente. Si un dispositivo ESG muestra una notificación en la interfaz de usuario, el dispositivo ESG tenía indicadores de riesgo. Si no se muestra ninguna notificación, no tenemos motivos para creer que el dispositivo se ha visto comprometido en este momento. Una vez más, solo un subconjunto de dispositivos ESG se vio afectado por este incidente.
“La orientación de Barracuda se mantiene constante para los clientes. Por precaución y en cumplimiento de nuestra estrategia de contención, recomendamos a los clientes afectados que reemplacen su electrodoméstico comprometido.
“Si un cliente recibió la notificación de la interfaz de usuario o un representante de soporte técnico de Barracuda lo contactó, el cliente debe comunicarse [email protected] para reemplazar el dispositivo ESG. Barracuda proporciona el producto de reemplazo al cliente afectado sin costo alguno”, dijeron.
“Barracuda se comprometió y continúa trabajando en estrecha colaboración con Mandiant, los principales expertos mundiales en seguridad cibernética, en esta investigación en curso”.