Due gruppi di hacker, uno dei quali legato alla Cina, hanno sfruttato negli ultimi mesi una vulnerabilità del software Pulse Secure per spiare le organizzazioni della difesa, finanziarie e del settore pubblico negli Stati Uniti.
Lo rivela in un lungo articolo FireEye, azienda statunitense di cybersecurity, evidenziando come le intrusioni siano ancora in corso. Gli aggressori, secondo l’azienda, stanno sfruttando una combinazione di vulnerabilità nel software di rete privata virtuale (VPN) di Pulse Secure, software utilizzato da governi e organizzazioni per gestire i dati sulle loro reti.
Secondo Mandiant, l’unità di risposta agli incidenti acquistata da FireEye nel 2013, uno dei gruppi di hacking in questione utilizza tecniche simili a quelle del Governo cinese: “Sospettiamo che queste intrusioni siano in linea con gli obiettivi di raccolta dati e di intelligence della Cina”, ha dichiarato alla Reuters Charles Carmakal, vicepresidente e CTO di Mandiant.
Earlier today, we disclosed a Pulse Secure vulnerability we've seen exploited by suspected China-linked hackers to target defense, gov, & financial orgs.
— FireEye (@FireEye) April 20, 2021
Here's what Charles Carmakal, SVP & CTO of @Mandiant had to say about the activity. via @Reuters https://t.co/ANwZd6dJvL pic.twitter.com/r3npsncl9Y
Il gruppo hacker cinese concentrato sull’industria della difesa statunitense
FireEye ha rifiutato di nominare gli obiettivi degli hacker, identificandoli solo come “difesa, governo e organizzazioni finanziarie in tutto il mondo”. Ha detto che il gruppo di hacker sospettati di lavorare per conto di Pechino era particolarmente concentrato sull’industria della difesa statunitense.
Secondo gli analisti di Mandiant, esistono almeno 12 diverse famiglie di malware legati allo sfruttamento del software Pulse Secure VPN. Secondo Mandiant, diversi gruppi di agenti informatici hanno probabilmente scritto il proprio codice per ottenere un accesso persistente alle reti che eseguono il software.
Sul suo sito web, Pulse Secure ha pubblicato le misure di mitigazione per la nuova vulnerabilità. Tuttavia, la soluzione finale non sarà disponibile fino a maggio. “C’è un nuovo problema, scoperto questo mese, che ha interessato un numero molto limitato di clienti. Il team ha lavorato rapidamente per fornire mitigazioni direttamente ai nostri clienti interessati. Rilasceremo un aggiornamento software all’inizio di maggio. Per ulteriori informazioni, visitare l’avviso di sicurezza SA44784 (CVE-2021-22893) “, scrive Phil Richards, CSO di Pulse Secure. “Inoltre, abbiamo sviluppato uno strumento semplice, efficiente e facile da usare in modo che i clienti possano valutare le installazioni dei loro prodotti e vedere se hanno subito impatti dovuti a problemi. Lo strumento Pulse Security Integrity Checker è ora disponibile; incoraggiamo i nostri clienti a usarlo e stiamo lavorando con loro per farlo “, afferma Richards.
L’ambasciata cinese a Washington non ha risposto immediatamente a una richiesta di commento. Pulse Secure VPN è stato uno dei programmi vulnerabili che gli hacker associati al Ministero della sicurezza statale cinese hanno utilizzato per infiltrarsi nel governo degli Stati Uniti e nelle reti private già lo scorso anno. Anche agenti del servizio di intelligence straniero russo SVR hanno sfruttato il software nelle loro attività di spionaggio.
SolarWinds Orion: la cyber war diventa sempre più critica
Ultimamente i dispositivi di rete, che possono essere difficili da monitorare per le aziende, sono emersi come una via privilegiata per le spie digitali. Come nel caso SolarWinds Orion, in particolare, sembra si sia trattato di un’operazione di raccolta di informazioni e spionaggio condotta per infiltrarsi ai più alti livelli del governo degli Stati Uniti e delle infrastrutture critiche nazionali, gettando le basi per ulteriori azioni di disturbo e sabotaggio all’interno di organizzazioni pubbliche e private.
Abbiamo bisogno che la comprensione di quanto sia urgente adottare cyber difese appropriate giunga ai più alti livelli di governo, con l’obiettivo di mettere in sicurezza i servizi pubblici e i servizi di base su cui tutti noi facciamo affidamento. Tutto questo richiederà un impegno senza precedenti in termini di risorse, per espandere le politiche e le strategie di sicurezza informatica, e una nuova leadership in grado di dirigere le operazioni informatiche nazionali e adottare nuove tecnologie per la resilienza. In Europa, miglioramenti cruciali sono già in corso dopo la presentazione della nuova strategia di sicurezza informatica dell’Ue il 16 dicembre scorso, che mira ad accrescere la resilienza informatica in tutta l’Unione.