Hackers maliciosos atacan a proveedores de Internet con vulnerabilidad de día cero
Un grupo de hackers maliciosos, sospechosos de vinculaciones con el gobierno chino, han empleado una vulnerabilidad que no había sido conocida previamente, con el objetivo de atacar a los proveedores de servicios de Internet de diversos países, según las investigaciones de expertos en ciberseguridad.
Este grupo de ciberdelincuentes, conocido como Volt Typhoon, ha estado explotando fallas de día cero, lo que significa que el fabricante de software no estaba al tanto de dicha falla, antes de tener tiempo para aplicar el parche. El afectado ha sido Versa Director, un software que forma parte de la empresa de seguridad informática llamada Lumen.
Esta empresa se encarga de vender software para administrar configuraciones de red, empleado por proveedores de servicios de Internet o ISP, por sus siglas en inglés. Además, administra estos servicios para proveedores de servicios administrados o MSP. Convirtiendo a Versa en un objetivo muy atractivo para los cibercriminales, según las declaraciones de los investigadores en un informe publicado hace unos días.
Este ha sido el último descubrimiento de actividades de hacking llevadas a cabo por este grupo criminal, el cual, según se cree, responde al gobierno chino. Se centran en atacar infraestructuras críticas, entre las que se incluyen redes de comunicación y telecomunicaciones, con la meta de causar daños en el mundo real, en caso de un futuro conflicto con naciones occidentales.
Funcionarios de diversos gobiernos, incluido el de los Estados Unidos, han manifestado a principios de este año que los hackers maliciosos tienen como objetivo interrumpir cualquier respuesta militar estadounidense en una futura y anticipada invasión a Taiwán.
Los objetivos de los ciberdelincuentes, según los investigadores de ciberseguridad, era robar y usar credenciales de los clientes corporativos comprometidos. Además, apuntaban a los servidores de Versa, donde podrían redirigirse a otras redes conectadas a los servidores de esta empresa que eran vulnerables.
Estas acciones no solo se limitaron a las telecomunicaciones, también a los proveedores de servicios gestionados y de servicios de Internet. Las ubicaciones centrales son a las que pueden dirigirse, las cuales brindan acceso adicional. Del mismo modo, los investigadores señalaron que estas empresas de Internet y redes son objetivos en sí mismas para los actores maliciosos, probablemente debido al acceso que podrían proporcionar a potenciales clientes adicionales.
Si bien los investigadores no mencionaron los nombres de las compañías comprometidas, sí dijeron que hubo cuatro víctimas en los Estados Unidos; dos ISP, un MSP y un proveedor de servicios de tecnologías de la información (TI). Además, hubo una víctima en la India, un ISP. Los portavoces de las empresas afectadas contestaron a los medios digitales que ya han parcheado la vulnerabilidad de día cero.
Cuando la empresa Versa confirmó la vulnerabilidad, emitió un parche de emergencia en ese momento. Desde entonces, ha lanzado un parche integral y lo ha distribuido entre los clientes. Los responsables agregaron que habían sido advertidos de esta falla desde finales del mes de junio de este año, mencionado a estos mismos medios que confirmaron la falla y pudieron observar a los atacantes cómo la aprovechaban.
La compañía de ciberseguridad llamada Black Lotus Labs alertó a la agencia de seguridad estadounidense CISA acerca de esta vulnerabilidad de día cero y la campaña de hacking. Al agregarlas a la lista de vulnerabilidades que han sido explotadas, la agencia advirtió que este tipo de vulnerabilidades son vectores de ataque frecuentes para hackers maliciosos y planean riesgos serios para las empresas federales.
