Hackers chinos explotan vulnerabilidad en equipo de correo de Barracuda para espiar a gobiernos y organizaciones

Expertos en seguridad cibernética han descubierto que los hackers respaldados por China son los responsables de la explotación masiva de una vulnerabilidad de seguridad recién descubierta en el equipo de seguridad de correo electrónico de Barracuda Networks, lo que ha llevado a una advertencia a los clientes para que retiren y reemplacen los dispositivos afectados.

Mandiant señala a los hackers respaldados por China

Mandiant, que fue llamada para dirigir la respuesta a incidentes de Barracuda, dijo que los hackers explotaron la falla para comprometer a cientos de organizaciones, probablemente como parte de una campaña de espionaje en apoyo del gobierno chino. El informe publicado por Mandiant el jueves señaló que casi un tercio de las organizaciones objetivo son agencias gubernamentales.

El 30% de las organizaciones afectadas son agencias gubernamentales

La vulnerabilidad afecta a los dispositivos de la puerta de enlace de seguridad de correo electrónico (ESG) de Barracuda, que se encuentran en la red de una empresa y filtran el tráfico de correo electrónico en busca de contenido malicioso. Barracuda emitió parches y advirtió que los hackers habían estado explotando la falla desde octubre de 2022. Sin embargo, la compañía recomendó más tarde a los clientes que retiren y reemplacen los dispositivos ESG afectados, independientemente del nivel de parche, sugiriendo que los parches fallaron o no pudieron bloquear el acceso del hacker.

Mandiant advierte a los clientes que reemplacen el hardware afectado

En su última guía, Mandiant también advirtió a los clientes que reemplacen el equipo afectado después de encontrar evidencia de que los hackers respaldados por China obtuvieron un acceso más profundo a las redes de las organizaciones afectadas. Barracuda tiene alrededor de 200.000 clientes corporativos en todo el mundo.

Mandiant atribuye los hacks a un grupo de amenazas aún no categorizado al que llama UNC4841, que comparte infraestructura y superposiciones de código de malware con otros grupos de piratería respaldados por China. Los investigadores de Mandiant dicen que el grupo de amenazas explotó las fallas de Barracuda ESG para implementar malware personalizado, que mantiene el acceso de los hackers a los dispositivos mientras extrae datos.

UNC4841: el grupo de amenazas detrás de los ataques

Según su informe, Mandiant dijo que encontró evidencia de que UNC4841 "buscó cuentas de correo electrónico pertenecientes a individuos que trabajan para un gobierno con interés político o estratégico para [China] al mismo tiempo que este gobierno víctima estaba participando en reuniones diplomáticas de alto nivel con otros países". Dado que una gran parte de los objetivos eran entidades gubernamentales, los investigadores dijeron que esto respalda su evaluación de que el grupo de amenazas tiene una motivación de recolección de inteligencia, en lugar de realizar ataques destructivos de datos.

El director de tecnología de Mandiant, Charles Carmakal, dijo que los ataques dirigidos a los clientes de Barracuda son la "campaña más amplia de espionaje cibernético" conocida que ha sido realizada por un grupo de piratería respaldado por China desde la explotación masiva de los servidores de Microsoft Exchange en 2021, que Mandiant también atribuyó a China.

La embajada china niega las acusaciones

Liu Pengyu, portavoz de la Embajada de China en Washington D.C., dijo que las acusaciones de que el gobierno chino respalda la piratería son "completamente distorsionadas". "La posición del gobierno chino sobre la seguridad cibernética es coherente y clara. Siempre nos hemos opuesto firmemente y hemos combatido todas las formas de piratería cibernética de acuerdo con la ley", dijo el portavoz, acusando también al gobierno estadounidense de violar el derecho internacional al llevar a cabo actividades de espionaje similares, pero sin proporcionar pruebas de las afirmaciones.