NSA diz que hackers chineses estão atacando ativamente falha em dispositivo de rede amplamente usado
NSA diz que hackers chineses estão atacando ativamente falha em dispositivo de rede amplamente usado
A Agência de Segurança Nacional disse na terça-feira que hackers apoiados pelo Estado chinês estão explorando uma falha em um dispositivo de rede amplamente usado que permite que um invasor execute a execução remota de código.
Em seu comunicado, a NSA disse acreditar que uma equipe de hackers chinesa conhecida como APT5 “demonstrou capacidades” contra um controlador de entrega de aplicativos feito pela Citrix. A Citrix lançou um patch de emergência para corrigir a vulnerabilidade na segunda-feira e disse que “foram relatadas explorações desse problema em dispositivos não mitigados em estado selvagem”.
A assessoria da agência de espionagem efetivamente destrói uma aparente operação de inteligência chinesa, expondo suas ferramentas e aconselhando vítimas em potencial sobre como evitar novos ataques. Historicamente, a NSA preferiu monitorar esses ataques em vez de divulgá-los, mas nos últimos anos ela se tornou mais proativa no compartilhamento de informações sobre invasores como o APT5.
Agora que foram queimados, os hackers por trás da operação visando a Citrix podem acelerar o ritmo de seus ataques. “Atores chineses com histórico de uso de dias zero geralmente aumentam após serem descobertos”, disse John Hultquist, vice-presidente de análise de inteligência da Mandiant. Enquanto não forem detectados, esses grupos tentarão evitar disparar o alarme, mas “depois que o dia zero for observado, todas as apostas serão canceladas”, disse ele.
Ativo desde pelo menos 2007, o APT5 é um conhecido grupo de hackers chinês com histórico de ataques a empresas e dispositivos de rede . O grupo tem um histórico de ataque a empresas de telecomunicações e tecnologia, com interesse particular em tecnologia relacionada à defesa. Em 2019, o grupo foi pego atacando redes privadas virtuais para roubar credenciais de usuários e monitorar o tráfego.
A revelação da falha Citrix na terça-feira ocorre um dia depois que a Fortinet revelou uma vulnerabilidade grave que também permite a execução remota de código para um de seus produtos VPN. A empresa disse estar ciente de “um caso em que essa vulnerabilidade foi explorada na natureza”, mas não atribuiu o ataque. A empresa instou seus clientes a corrigir os sistemas afetados imediatamente.
A notícia da vulnerabilidade do Citrix logo após as falhas do Fortinet significa que um grande número de sistemas pode ser exposto a ataques até que os patches sejam implementados nos sistemas afetados.
“Combinado com a recente vulnerabilidade do Fortinet, pode ser um péssimo Natal”, disse Allan Liska, analista de inteligência da Recorded Future. “Os dois são igualmente ruins em termos de execução remota de código e pré-autenticação. Eles também são dispositivos que tendem a ser acessíveis publicamente pela Internet, o que significa que os bandidos provavelmente já estão procurando vítimas em potencial”.
Comentários
Postar um comentário