Gli attacchi informatici di tipo zero-day stanno mettendo in crisi numerose infrastrutture critiche negli Stati Uniti, e l'ultimo bersaglio è il software Versa Director. Questo prodotto, utilizzato da numerosi fornitori di servizi Internet (ISP) e fornitori di servizi gestiti (MSP), è stato violato da un gruppo di cyber-spionaggio cinese noto come Volt Typhoon. Gli attacchi zero-day rappresentano una seria minaccia poiché sfruttano vulnerabilità non ancora conosciute e, quindi, prive di patch di sicurezza.

Il gruppo Volt Typhoon

Il gruppo Volt Typhoon è noto per la sua capacità di infiltrarsi in reti critiche, con l'obiettivo di destabilizzare le comunicazioni tra gli Stati Uniti e l'Asia durante eventuali conflitti futuri. La vulnerabilità specifica, identificata come CVE-2024-39717, permette agli hacker di caricare file malevoli su sistemi vulnerabili. Versa ha esortato i suoi clienti a implementare immediatamente una patch correttiva presente nella versione 22.1.4 o successiva del software.

Responsabilità dei clienti

Versa ha anche attribuito parte della responsabilità ai propri clienti, accusandoli di non aver implementato adeguate misure di sicurezza come l'indurimento dei sistemi e le linee guida sui firewall, lasciando esposti i porti di gestione su Internet. Questa esposizione ha fornito agli attori della minaccia l'accesso iniziale ai sistemi.

Indagini di Black Lotus Labs

Black Lotus Labs, il braccio di ricerca sulla sicurezza di Lumen Technologies, è stata una delle prime organizzazioni a segnalare la vulnerabilità. Nel giugno 2024, il loro team ha identificato una backdoor web su sistemi Versa Director appartenenti a quattro vittime statunitensi e una vittima non statunitense. Questi sistemi compromessi appartengono a settori ISP e MSP, con attività di exploit note risalenti al 12 giugno 2024.

Responsabilità di Volt Typhoon

Gran parte degli indizi punta a Volt Typhoon come il gruppo responsabile degli attacchi. Questo gruppo è noto per l'uso di attacchi zero-day e backdoor basate su Java che eseguono solo in memoria, rendendo difficile la loro rilevazione e rimozione. Nel maggio 2023, l'NSA, l'FBI e la CISA avevano già emesso un avviso congiunto riguardante Volt Typhoon, descrivendo le tattiche del gruppo e il loro utilizzo di dispositivi di rete SOHO per nascondere le loro attività.

Rapporto su KV-botnet

A dicembre 2023, Black Lotus Labs ha pubblicato un rapporto sul "KV-botnet", una rete di router SOHO compromessi utilizzati per trasferimenti di dati nascosti, supportando vari gruppi di hacking sponsorizzati dallo stato cinese, incluso Volt Typhoon. Il Dipartimento di Giustizia degli Stati Uniti ha successivamente smantellato questa botnet grazie a un'operazione autorizzata dall'FBI.

Avvertimenti di CISA

Inoltre, nel febbraio 2024, CISA ha nuovamente avvertito che Volt Typhoon aveva compromesso ambienti IT di diverse organizzazioni di infrastrutture critiche negli Stati Uniti, inclusi i settori delle comunicazioni, dell'energia, dei sistemi di trasporto e dell'acqua. Questo comportamento anomalo suggerisce che il gruppo stia preparando il terreno per future operazioni di disturbo.

Dichiarazioni dell'FBI

Il direttore dell'FBI, Christopher Wray, ha sottolineato che la Cina sta sviluppando la capacità di infliggere danni fisici alle infrastrutture critiche statunitensi, cercando di indurre panico. Questa minaccia richiede una vigilanza costante e un miglioramento delle misure di sicurezza per proteggere le infrastrutture critiche.