Soporte técnico
Documentación
Inicio de sesión
Póngase en contacto con nosotros
Fallo de día cero de Barracuda: Riesgos para el Gobierno y las Fuerzas Armadas
Wajahat Raja
14 de septiembre de 2023 - Equipo de expertos TuxCare
Una supuesta organización de piratas informáticos vinculada a China ha explotado recientemente una vulnerabilidad de día cero encontrada recientemente en los dispositivos Email Security Gateway (ESG) de Barracuda Networks. Este fallo de día cero de Barracuda tiene ramificaciones globales y afecta a los sectores gubernamental, militar, de defensa, aeroespacial, de alta tecnología y de telecomunicaciones. Vamos a entrar en los detalles de este problema de ciberseguridad y sus posibles repercusiones.
El misterioso perpetrador: UNC4841
Mandiant, una conocida empresa de inteligencia sobre amenazas, está vigilando activamente al grupo de piratas informáticos con sede en China "UNC4841." Describen a este actor de amenazas como muy adaptable y capaz de cambiar de estrategia para tener acceso constante a sus objetivos. UNC4841 ha utilizado malware creativo para entrar en organizaciones de alta prioridad y ha explotado la vulnerabilidad de día cero en los productos de Barracuda.
Sorprendentemente, las agencias gubernamentales representan aproximadamente un tercio de las organizaciones expuestas a este ataque. Dicho esto, las primeras amenazas se descubrieron en dispositivos de China continental, lo que arroja luz sobre los posibles orígenes del ataque.
Fallo de día cero de Barracuda: explotación de CVE-2023-2868
El modo de funcionamiento de esta amenaza de ciberseguridad para el gobierno y el ejército es utilizar CVE-2023-2868 para implantar malware y realizar operaciones de post-explotación. El ataque ha llevado a la distribución de malware adicional, como SUBMARINE (también conocido como DEPTHCHARGE), en algunos casos para asegurar la persistencia a pesar de los esfuerzos correctivos.
La caída de la actividad observada en torno al Año Nuevo chino, seguida de dos repuntes, es un componente notable de esta campaña. El primera divulgación del fallo de día cero de Barracuda ocurrió el 23 de mayo de 2023tras la notificación pública de Barracuda, mientras que la segunda se produjo a principios de junio de 2023. la segunda se produjo a principios de junio de 2023. Durante este último pico, los atacantes intentaron mantener el acceso mediante la distribución de familias de malware adicionales, incluyendo SKIPJACK, DEPTHCHARGE y FOXTROT / FOXGLOVE.
SKIPJACK es un implante pasivo que monitoriza encabezados y asuntos de correo electrónico específicos, mientras que DEPTHCHARGE se incorpora al demonio Barracuda SMTP (BSMTP) y ejecuta comandos cifrados. FOXTROT, por su parte, es un implante C++ lanzado a través de FOXGLOVE y orientado a tareas como la captura del teclado, la ejecución de comandos shell, la transferencia de archivos y la configuración shell inversa.
El rápido despliegue de DEPTHCHARGE tras la actualización y parche de seguridad de Barracuda implica que UNC4841 cuenta con una planificación exhaustiva y enormes recursos a su disposición. Esta operación parece cualquier cosa menos oportunista, lo que pone de relieve la capacidad del actor de la amenaza para prever y sortear posibles interrupciones.
Impacto de la vulnerabilidad de día cero en los sectores: Implicación china
DEPTCHARGE infectado alrededor del 2,64 por ciento de los dispositivos comprometidos, afectando tanto a gobiernos estadounidenses como extranjeros, así como a empresas de alta tecnología y de tecnología de la información. Aunque no son exclusivos de los ESG de Barracuda, FOXTROT y FOXGLOVE se emplearon selectivamente para atacar a organizaciones relacionadas con el gobierno.
La UNC4841 ha demostrado ser experta en reconocimiento interno y movilidad lateral en situaciones comprometidas. En particular, intentaron acceso no autorizado a buzones de correo dentro de organizaciones que utilizan Microsoft Outlook Web Access (OWA). También crearon cuentas con caracteres aleatorios en un subconjunto de los dispositivos afectados, ofreciendo una ruta de acceso remoto alternativa.
Las similitudes infraestructurales con otra agrupación denominada UNC2286 ponen de relieve el vínculo entre UNC4841 y China. UNC2286 también está vinculado a los proyectos de espionaje chinos FamousSparrow y GhostEmperor. A la luz de este riesgo de seguridad de Barracuda en el sector militarha aconsejado a los clientes afectados que sustituyan sus equipos ESG lo antes posible debido a las continuas amenazas.
Conclusión
Finalmente, las acciones de UNC4841 muestran la siempre cambiante arena del ciberespionaje. Su agilidad y capacidad para atacar áreas concretas ponen de manifiesto la complejidad de las amenazas modernas a la ciberseguridad. Las organizaciones, especialmente las de sectores sensibles, deben permanecer atentas y dar prioridad a medidas de seguridad eficaces para evitar riesgos de ciberseguridad para infraestructuras críticas.
A medida que evoluciona el mundo digital proteger las redes gubernamentales de los ataques de día cero y la lucha contra las vulnerabilidades se ha vuelto crucial. Abordar estas preocupaciones puede ayudar a estas organizaciones a proteger su propiedad intelectual y combatir las amenazas emergentes.
Las fuentes de este artículo incluyen artículos en The Hacker News y Spiceworks.
