En un extenso artículo, FireEye advirtió el martes 20 de abril que dos grupos de hackers, uno de ellos vinculado a China, han explotado en los últimos meses un popular software empresarial para intervenir organizaciones de defensa, financieras y del sector público en Estados Unidos y Europa.
Los atacantes están explotando una combinación de vulnerabilidades ya conocidas, y una nueva, en el software de redes privadas virtuales (VPN) de Pulse Secure. Gobiernos y organizaciones utilizan esta tecnología para gestionar los datos de sus redes, aunque a lo largo de los años ha demostrado ser un asidero popular para los espías.
Uno de los grupos de hackeo en cuestión utiliza técnicas similares a las de un grupo de espionaje respaldado por el Estado chino, según la unidad de respuesta a incidentes de FireEye, Mandiant. “También hemos descubierto pruebas limitadas que sugieren que [el grupo de hackers] opera en nombre del gobierno chino”, dijo Mandiant en una entrada de blog. La compañía no dijo, específicamente, qué pruebas descubrió que vinculan el incidente con China.
El Vicepresidente Senior y CTO de Mandiant, Charles Carmakal, dijo: “Sospechamos que estas intrusiones se alinean con los objetivos de recopilación de datos e inteligencia por parte de China.”
Según los analistas de Mandiant, existen al menos 12 familias diferentes de software malicioso relacionadas con la explotación del software Pulse Secure VPN. Varios grupos de agentes cibernéticos han escrito probablemente su propio código para obtener un acceso persistente a las redes que ejecutan el software, según Mandiant. Los analistas dijeron que los grupos de hackeo podrían no estar relacionados entre sí.
En su sitio web, Pulse Secure enumera medidas de mitigación para la nueva vulnerabilidad. Sin embargo, la solución definitiva no estará disponible hasta mayo. “Hay un nuevo problema, descubierto este mes, que ha afectado a un número muy limitado de clientes. El equipo ha trabajado rápidamente para proporcionar mitigaciones directamente al número limitado de clientes afectados que remedian el riesgo para su sistema. Publicaremos una actualización de software a principios de mayo. Visite el aviso de seguridad SA44784 (CVE-2021-22893) para obtener más información”, escribe Phil Richards, CSO de Pulse Secure. “Además, hemos desarrollado una herramienta sencilla, eficiente y fácil de usar para que los clientes puedan evaluar las instalaciones de sus productos y ver si han experimentado algún impacto debido a los problemas. La herramienta Pulse Security Integrity Checker ya está disponible; animamos a nuestros clientes a utilizarla y estamos trabajando con ellos para que lo hagan”, afirma Richards.
Pulse Secure VPN fue uno de los programas vulnerables que los hackers asociados al Ministerio de Seguridad del Estado de China utilizaron para infiltrarse en las redes gubernamentales y privadas de Estados Unidos el año pasado. Los agentes del servicio de inteligencia exterior ruso SVR también han explotado el software en sus actividades de espionaje, según informaron la semana pasada las autoridades estadounidenses.
