يقول مانديانت إن المتسللين المدعومين من الصين استغلوا باراكودا الصفر للتجسس على الحكومات

يقول باحثو الأمن في Mandiant إن المتسللين المدعومين من الصين هم على الأرجح وراء الاستغلال الجماعي للثغرة الأمنية المكتشفة مؤخرًا في معدات أمان البريد الإلكتروني الخاصة بشبكة Barracuda Networks ، مما دفع العملاء إلى إزالة الأجهزة المتضررة واستبدالها.

وقال مانديانت ، الذي تم استدعاؤه لإدارة رد باراكودا على الحادث ، إن المتسللين استغلوا الثغرة في اختراق مئات المنظمات على الأرجح كجزء من حملة تجسس لدعم الحكومة الصينية.

وقال مانديانت في تقرير نُشر يوم الخميس إن ما يقرب من ثلث المنظمات المستهدفة هي وكالات حكومية.

في الشهر الماضي ، اكتشف Barracuda الثغرة الأمنية التي تؤثر على أجهزتها الخاصة ببوابة أمان البريد الإلكتروني (ESG) ، والتي توجد على شبكة الشركة وتقوم بتصفية حركة مرور البريد الإلكتروني بحثًا عن محتوى ضار. أصدر Barracuda تصحيحات وحذر من أن المتسللين كانوا يستغلون الخلل منذ أكتوبر 2022. لكن الشركة أوصت لاحقًا العملاء بإزالة واستبدال أجهزة ESG المتأثرة ، بغض النظر عن مستوى التصحيح ، مما يشير إلى فشل التصحيحات أو عدم تمكنها من منع وصول المتسلل.

في أحدث إرشاداتها ، حذرت Mandiant العملاء أيضًا من استبدال المعدات المتضررة بعد العثور على دليل على أن المتسللين المدعومين من الصين اكتسبوا وصولاً أعمق إلى شبكات المنظمات المتضررة.

لدى Barracuda حوالي 200،000 من عملاء الشركات حول العالم.

ينسب مانديانت الاختراقات إلى مجموعة تهديد لم يتم تصنيفها بعد ، تسميها UNC4841 ، والتي تشترك في البنية التحتية ورموز البرامج الضارة مع مجموعات القرصنة الأخرى المدعومة من الصين. يقول باحثو مانديانت إن مجموعة التهديد استغلت عيوب Barracuda ESG لنشر برامج ضارة مخصصة ، والتي تحافظ على وصول المتسللين إلى الأجهزة بينما تقوم بسرقة البيانات.

وفقًا لتقريرها ، قالت مانديانت إنها وجدت دليلًا على أن UNC4841 “بحث عن حسابات بريد إلكتروني تخص أفراد يعملون في حكومة ذات مصلحة سياسية أو استراتيجية [China] في نفس الوقت الذي كانت فيه هذه الحكومة الضحية تشارك في اجتماعات دبلوماسية رفيعة المستوى مع دول أخرى “.

نظرًا لأن جزءًا كبيرًا من الأهداف كانت كيانات حكومية ، قال الباحثون إن هذا يدعم تقييمهم بأن مجموعة التهديد لديها دافع لجمع المعلومات الاستخبارية ، بدلاً من شن هجمات بيانات مدمرة.

قال تشارلز كارماكال ، كبير مسؤولي التكنولوجيا في مانديانت ، إن عمليات الاختراق التي تستهدف عملاء باراكودا هي “أوسع حملة تجسس إلكتروني” معروفة من قبل مجموعة قرصنة مدعومة من الصين منذ الاستغلال الجماعي لخوادم Microsoft Exchange في عام 2021 ، والذي نسبه مانديانت أيضًا إلى الصين.

قال ليو بينغيو ، المتحدث باسم السفارة الصينية في واشنطن العاصمة ، إن المزاعم بأن الحكومة الصينية تدعم القرصنة “تشوه الحقيقة تمامًا”.

إن موقف الحكومة الصينية بشأن الأمن السيبراني ثابت وواضح. قال المتحدث: “لقد عارضنا دائمًا بشدة وقمنا بقمع جميع أشكال القرصنة الإلكترونية وفقًا للقانون” ، بينما اتهم حكومة الولايات المتحدة أيضًا بانتهاك القانون الدولي من خلال القيام بأنشطة تجسس مماثلة ، ولكن دون تقديم أدلة على الادعاءات.