Mandiant’taki güvenlik araştırmacıları, Barracuda Networks’ün e-posta güvenlik donanımında yakın zamanda keşfedilen ve müşterilere etkilenen cihazları çıkarmaları ve değiştirmeleri için bir uyarı verilmesine neden olan bir güvenlik açığının kitlesel istismarının arkasında muhtemelen Çin destekli bilgisayar korsanlarının olduğunu söylüyor.
Barracuda’nın olay müdahalesini yürütmesi için çağrılan Mandiant, bilgisayar korsanlarının muhtemelen Çin hükümetini destekleyen bir casusluk kampanyasının parçası olarak yüzlerce organizasyonu tehlikeye atmak için kusurdan yararlandığını söyledi.
Mandiant, hedef alınan kuruluşların neredeyse üçte birinin devlet kurumları olduğunu söyledi. rapor Perşembe yayınlandı.
Geçen ay Barracuda, bir şirketin ağında bulunan ve e-posta trafiğini kötü amaçlı içeriğe karşı filtreleyen E-posta Güvenliği Ağ Geçidi (ESG) cihazlarını etkileyen güvenlik kusurunu keşfetti. Baraküda yayınlanan yamalar ve bilgisayar korsanlarının Ekim 2022’den beri kusurdan yararlandığı konusunda uyarıda bulundu. Ancak şirket daha sonra, yamaların başarısız olduğunu veya bilgisayar korsanının erişimini engelleyemediğini öne sürerek müşterilere yama seviyesinden bağımsız olarak etkilenen ESG cihazlarını kaldırıp değiştirmelerini tavsiye etti.
Mandiant, en son kılavuzunda, Çin destekli bilgisayar korsanlarının etkilenen kuruluşların ağlarına daha derin erişim elde ettiğine dair kanıt bulduktan sonra müşterileri etkilenen donanımları değiştirmeleri konusunda da uyardı.
Barracuda’nın dünya çapında yaklaşık 200.000 kurumsal müşterisi bulunmaktadır.
Mandiant, saldırıları, Çin destekli diğer bilgisayar korsanlığı gruplarıyla altyapı ve kötü amaçlı yazılım çakışmalarını paylaşan, UNC4841 adını verdiği, henüz kategorize edilmemiş bir tehdit grubuna bağlıyor. Mandiant’ın araştırmacıları, tehdit grubunun, verileri sızdırırken bilgisayar korsanlarının cihazlara erişimini koruyan özel kötü amaçlı yazılımları dağıtmak için Barracuda ESG kusurlarından yararlandığını söylüyor.
Mandiant, raporuna göre, UNC4841’in “bir hükümet için çalışan ve siyasi veya stratejik çıkarları olan kişilere ait e-posta hesaplarını aradığına dair kanıt bulduğunu söyledi. [China] aynı zamanda bu mağdur hükümet diğer ülkelerle üst düzey diplomatik toplantılara katılıyordu.”
Hedeflerin büyük bir kısmının devlet kurumları olduğu göz önüne alındığında, araştırmacılar bunun, tehdit grubunun yıkıcı veri saldırıları yapmaktan ziyade istihbarat toplama motivasyonuna sahip olduğu yönündeki değerlendirmelerini desteklediğini söylediler.
Mandiant’ın baş teknoloji sorumlusu Charles Carmakal, Barracuda müşterilerini hedef alan saldırıların, Mandiant’ın Microsoft Exchange sunucularının 2021’de toplu olarak sömürülmesinden bu yana Çin destekli bir bilgisayar korsanlığı grubu tarafından yürütüldüğü bilinen “en geniş siber casusluk kampanyası” olduğunu söyledi. ayrıca atfedilen Çin’e.
Washington DC’deki Çin Büyükelçiliği sözcüsü Liu Pengyu, Çin hükümetinin bilgisayar korsanlığını desteklediği iddialarının “gerçeği tamamen çarpıttığını” söyledi.
“Çin hükümetinin siber güvenlik konusundaki konumu tutarlı ve net. Yasalara uygun olarak her türlü siber korsanlığa her zaman kesin bir şekilde karşı çıktık ve sert önlemler aldık” dedi.