Un groupe de pirates informatiques liés au gouvernement chinois a utilisé une vulnérabilité précédemment inconnue dans un logiciel pour cibler les fournisseurs de services Internet des États-Unis, ont découvert des chercheurs en sécurité.
Le groupe connu sous le nom de Volt Typhoon exploitait la faille zero-day - ce qui signifie que l'éditeur de logiciels n'en avait pas connaissance avant d'avoir le temps de la corriger - dans Versa Director, un logiciel de Versa Networks, selon des chercheurs de Black Lotus Labs, qui fait partie de la société de cybersécurité Lumen.
Versa vend des logiciels pour gérer les configurations réseau, et est utilisé par les fournisseurs de services Internet (ISP) et les fournisseurs de services gérés (MSP), ce qui rend Versa "une cible critique et attrayante" pour les pirates informatiques, ont écrit les chercheurs dans un rapport publié mardi.
Il s'agit de la dernière découverte d'activités de piratage menées par Volt Typhoon, un groupe soupçonné de travailler pour le gouvernement chinois. Le groupe se concentre sur le ciblage des infrastructures critiques, notamment les réseaux de communication et de télécommunications, dans le but de causer "des dommages réels" en cas de conflit futur avec les États-Unis. Des responsables gouvernementaux américains ont témoigné plus tôt cette année que les pirates informatiques cherchent à perturber toute réponse militaire américaine dans le cadre d'une future invasion anticipée de Taïwan.
Les objectifs des pirates informatiques, selon les chercheurs de Black Lotus Labs, étaient de voler et d'utiliser des identifiants sur les clients en aval des victimes corporatives compromises. En d'autres termes, les pirates informatiques ciblaient les serveurs Versa comme des carrefours où ils pouvaient ensuite pivoter vers d'autres réseaux connectés aux serveurs Versa vulnérables, a déclaré Mike Horka, le chercheur en sécurité qui a enquêté sur cet incident, à TechCrunch lors d'un appel.
"Ce n'était pas limité aux seuls fournisseurs de télécommunications, mais aussi aux fournisseurs de services gérés et aux fournisseurs de services Internet", a déclaré Horka. "Ces emplacements centraux auxquels ils peuvent s'attaquer, qui fournissent ensuite un accès supplémentaire." Horka a déclaré avoir trouvé quatre victimes aux États-Unis, deux ISP, un MSP et un fournisseur de services informatiques ; et une victime en dehors des États-Unis, un ISP en Inde. Black Lotus Labs n'a pas nommé les victimes.
Le directeur marketing de Versa, Dan Maier, a déclaré à TechCrunch dans un e-mail que la société a corrigé la faille zero-day identifiée par Black Lotus Labs.
"Versa a confirmé la vulnérabilité et a publié un correctif d'urgence à ce moment-là. Nous avons depuis publié un correctif complet et l'avons distribué à tous nos clients", a déclaré Maier, ajoutant que les chercheurs ont averti la société de la faille fin juin.
Black Lotus Labs a déclaré avoir alerté l'agence américaine de cybersécurité CISA de la vulnérabilité zero-day et de la campagne de piratage. Vendredi, la CISA a ajouté la faille zero-day à sa liste des vulnérabilités qui ont été exploitées. L'agence a averti que "ces types de vulnérabilités sont des vecteurs d'attaque fréquents pour les acteurs cybernétiques malveillants et posent des risques importants pour l'entreprise fédérale".