Máy chủ email của chính phủ Hoa Kỳ bị nhắm tới trong cuộc tấn công Barracuda

Hacker Trung Quốc bị nghi ngờ đã nhắm mục tiêu và xâm nhập vào chính phủ và các tổ chức liên kết với chính phủ trên toàn thế giới trong các cuộc tấn công gần đây, khai thác lỗ hổng zero-day của Cổng bảo mật email Barracuda (ESG).

Theo báo cáo của Mandiant, gần 1/3 số thiết bị nhắm tới trong chiến dịch này thuộc về các cơ quan chính phủ, chủ yếu trong khoảng thời gian từ tháng 10-12/2022.

Động cơ của các cuộc tấn công là gián điệp, trong đó hacker (được theo dõi là UNC4841) tham gia vào việc đánh cắp thông tin từ các hệ thống của người dùng cấp cao trong chính phủ và các ngành công nghệ cao.

Barracuda ngày 20/5 đã cảnh báo khách hàng rằng hacker đang khai thác lỗ hổng để xâm nhập các thiết bị ESG, cùng với đó, hãng cũng vá tất cả các thiết bị ảnh hưởng bởi vấn đề tấn công từ xa.

10 ngày sau, công ty tiết lộ rằng lỗi zero-day đã bị lạm dụng trong các cuộc tấn công trong ít nhất 7 tháng, ít nhất từ tháng 10/2022, để phát tán mã độc và đánh cắp dữ liệu từ các hệ thống bị xâm nhập.

Một tuần sau đó, khách hàng được cảnh báo rằng họ phải thay thế các thiết bị bị tấn công ngay lập tức, ngay cả những thiết bị đã được vá (theo Mandiant, khoảng 5% tổng số thiết bị ESG đã bị xâm phạm trong các cuộc tấn công). Hacker đã phát tán các mã độc chưa từng được biết đến trước đây, bao gồm SeaSpy và Saltwater, cùng với công cụ độc hại SeaSide, để giành quyền truy cập từ xa vào các hệ thống bị xâm nhập thông qua các reverse shell.

CISA sau đó cũng công bố thông tin chi tiết về mã độc Submarine (còn gọi là DepthCharge) và Whirlpool đã được triển khai trong các cuộc tấn công tương tự.

Đại diện Mandiant cho biết: “Chúng ta đang phải đối mặt với những đối thủ đáng gờm có nguồn tài nguyên, nguồn tài trợ dồi dào và cách thức tấn công tinh vi để gián điệp toàn cầu mà không bị phát hiện”.

Trong khi Mandiant và Barracuda vẫn chưa tìm thấy bằng chứng về việc các thiết bị ESG bị xâm nhập thông qua khai thác CVE-2023-2868 sau khi đã có bản vá, thì FBI tuần trước cảnh báo rằng các bản vá này ‘không hiệu quả’ và các thiết bị được vá vẫn đang bị xâm nhập trong các cuộc tấn công. Người dùng nên cách ly và thay thế các thiết bị ảnh hưởng bởi lỗ hổng càng sớm càng tốt.

Các sản phẩm bảo mật của Barracuda được hơn 200.000 tổ chức trên toàn thế giới sử dụng, bao gồm các tổ chức chính phủ và các công ty nổi tiếng.

Nguồn: Bleeping Computer