Segurança

Hackers exploram falhas em VPN para espionar empresas de defesa

Os cibercriminosos, supostamente ligados ao governo chinês, têm como alvos principais as organizações americanas

Avatar do(a) autor(a): André Luiz Dias Gonçalves

21/04/2021, às 17:30

Hackers exploram falhas em VPN para espionar empresas de defesa

Fonte:  Freepik 

Imagem de Hackers exploram falhas em VPN para espionar empresas de defesa no tecmundo

Hackers possivelmente apoiados pela China têm explorado falhas na rede virtual privada (VPN) da Pulse Secure, nos últimos meses, para espionar organizações ligadas à indústria da defesa dos Estados Unidos. O alerta foi dado nessa terça-feira (20) pela controladora da ferramenta.

De acordo com a empresa Ivanti, cibercriminosos usaram uma vulnerabilidade de dia zero desconhecida em dispositivos de VPN do seu pacote Pulse Connect Secure para invadir um “número muito limitado de clientes”.

Segundo a Agência de Segurança Cibernética e de Infraestrutura dos EUA, os ataques cibernéticos, que ainda exploraram outras falhas na ferramenta, tiveram como alvos as agências governamentais do país, entidades de infraestrutura crítica e também organizações do setor privado relacionadas à defesa.

Usuários de VPNs da empresa tiveram as senhas roubadas.Usuários de VPNs da empresa tiveram as senhas roubadas.

Detalhes sobre os autores da campanha não foram divulgados pela Ivanti. Porém, a empresa de segurança cibernética Mandiant, que rastreou os ataques, revelou ter encontrado evidências de que pelo menos um dos grupos de atacantes, denominado UNC2630, teria ligação com o governo chinês.

Em busca de informações sigilosas

Conforme a Mandiant, as falhas de segurança na VPN da Pulse Secure permitem aos hackers burlar os sistemas de autenticação de fator único e multifator, que protegem os dispositivos da rede virtual privada. Assim, eles instalam malwares resistentes às atualizações e web shells nas máquinas.

Estes arquivos maliciosos possibilitam acessar os dispositivos remotamente para roubar credenciais de acesso legítimas (nome de usuário e senha) das organizações atacadas, escancarando as portas dos sistemas das empresas, dando acesso total aos criminosos.

A embaixada chinesa rechaçou qualquer ligação do país com os ataques cibernéticos.A embaixada chinesa rechaçou qualquer ligação do país com os ataques cibernéticos.

A empresa informou ter rastreado pelo menos 12 famílias de malwares explorando os dispositivos da Pulse Secure a partir da vulnerabilidade intitulada CVE-2021-22893, descoberta este mês e que afetou um número reduzido de clientes, conforme a Ivanti.

No entanto, as falhas descobertas anteriormente e já corrigidas, denominadas CVE-2019-11510, CVE-2020-8243 e CVE-2020-8260, também podem estar sendo exploradas novamente, inclusive por outros grupos de hackers, impactando organizações de defesa, financeiras e governos de mais países que utilizam a VPN da empresa.

Ações para mitigar os riscos

Para reduzir os impactos causados pela falha de dia zero descoberta recentemente, a Ivanti entrou em contato com as organizações afetadas pelo ataque para orientá-las em relação a como mitigar os riscos.

Entre as orientações, está a indicação de uso da ferramenta Pulse Security Integrity Checker, capaz de identificar quaisquer atividades incomuns no sistema. A empresa informou ainda que tem trabalhado em uma solução definitiva para o problema, cuja disponibilidade é prevista para o início de maio.

Organizações americanas são os alvos principais dos ataques.Organizações americanas são os alvos principais dos ataques.

Quanto às outras brechas também exploradas, a empresa recomendou aos usuários da ferramenta revisar todas as orientações disponibilizadas anteriormente e verificar os patches de segurança já lançados para corrigi-las, além de alterar todas as senhas dos dispositivos, caso haja algum impacto.



Jornalista formado pela PUC Minas, escreve para o TecMundo e o Mega Curioso desde 2019.