A Agência de Segurança Nacional dos EUA confirmou que hackers que exploram falhas no dispositivo VPN empresarial amplamente utilizado da Ivanti têm como alvo organizações em todo o setor de defesa dos EUA.
O porta-voz da NSA, Edward Bennett, confirmou em uma declaração enviada por e-mail ao TechCrunch na sexta-feira que a agência de inteligência dos EUA, juntamente com suas contrapartes interagências, está “rastreando e ciente do amplo impacto da recente exploração dos produtos Ivanti, incluindo o [sic] Setor de defesa dos EUA.”
“O [NSA’s] O Centro de Colaboração em Segurança Cibernética continua a trabalhar com nossos parceiros para detectar e mitigar esta atividade”, acrescentou o porta-voz.
A confirmação de que a NSA está rastreando esses ataques cibernéticos ocorre dias depois que a Mandiant informou que hackers suspeitos de espionagem chineses fizeram “tentativas em massa” de explorar múltiplas vulnerabilidades que afetam o Ivanti Connect Secure, o popular software VPN de acesso remoto usado por milhares de corporações e grandes organizações em todo o mundo.
Mandiant disse no início desta semana que os hackers apoiados pela China, rastreados como um grupo de ameaças chamado UNC5325, tinham como alvo organizações de vários setores. Isto inclui o setor de base industrial de defesa dos EUA, uma rede mundial de milhares de organizações do setor privado que fornecem equipamentos e serviços às forças armadas dos EUA, disse Mandiant. citando descobertas anteriores da empresa de segurança Volexity.
Em sua análise, a Mandiant disse que o UNC5325 demonstra “conhecimento significativo” do dispositivo Ivanti Connect Secure e empregou técnicas de vida fora da terra – o uso de ferramentas e recursos legítimos já encontrados no sistema alvo – para melhor evitar a detecção, Mandiant disse. Os hackers apoiados pela China também implantaram novos malwares “para permanecerem incorporados nos dispositivos Ivanti, mesmo após redefinições de fábrica, atualizações de sistema e patches”.
Isso foi ecoado em um comunicado divulgado pela agência de segurança cibernética dos EUA CISA na quinta-feira, que alertou que os hackers que exploram dispositivos vulneráveis da Ivanti VPN podem ser capazes de manter a persistência no nível raiz mesmo após realizarem redefinições de fábrica. A agência federal de segurança cibernética disse que seus próprios testes independentes mostraram que invasores bem-sucedidos são capazes de enganar a ferramenta Verificador de integridade da Ivanti, o que pode resultar em uma “falha na detecção de comprometimento”.
Em resposta às descobertas da CISA, o diretor de segurança da informação da Ivanti, Mike Riemer, minimizou as descobertas da CISA, dizendo ao TechCrunch que a Ivanti não acredita que os testes da CISA funcionariam em um ambiente de cliente ativo. Riemer acrescentou que a Ivanti “não tem conhecimento de nenhum caso de persistência bem-sucedida de agentes de ameaças após a implementação das atualizações de segurança e redefinições de fábrica recomendadas pela Ivanti”.
Ainda não se sabe exatamente quantos clientes da Ivanti foram afetados pela exploração generalizada das vulnerabilidades do Connect Secure, que começou em janeiro.
Akamai disse em uma análise publicado na semana passada que os hackers lançam aproximadamente 250.000 tentativas de exploração por dia e têm como alvo mais de 1.000 clientes.
Link do Autor