Los piratas informáticos malintencionados están explotando una vulnerabilidad de día cero en Versa Director, un producto de software utilizado por muchos proveedores de servicios de Internet y TI. Los investigadores creen que la actividad está vinculada a Volt Typhoon, un grupo chino de ciberespionaje centrado en infiltrarse en redes críticas de EE. UU. y sentar las bases para la capacidad de interrumpir las comunicaciones entre Estados Unidos y Asia durante cualquier conflicto armado futuro con China. Imagen: Shutterstock.com Los sistemas Versa Director son utilizados principalmente por proveedores de servicios de Internet (ISP), así como por proveedores de servicios gestionados (MSP) que atienden las necesidades de TI de muchas pequeñas y medianas empresas simultáneamente. En un aviso de seguridad publicado el 26 de agosto, Versa instó a los clientes a implementar un parche para la vulnerabilidad (CVE-2024-39717), que, según la empresa, está corregida en Versa Director 22.1.4 o posterior. Versa dijo que la debilidad permite a los atacantes cargar un archivo de su elección en los sistemas vulnerables. El aviso culpó en gran medida a los clientes de Versa que «no implementaron las pautas de fortalecimiento del sistema y del firewall… dejando un puerto de administración expuesto en Internet que proporcionó a los actores de amenazas un acceso inicial». El aviso de Versa no dice cómo se enteró de la falla de día cero, pero su lista de vulnerabilidades en mitre.org reconoce que «hay informes de otras basadas en observaciones de telemetría de la red troncal de un proveedor externo, sin embargo, estos no están confirmados hasta la fecha». Esos informes de terceros llegaron a fines de junio de 2024 de Michael Horka, ingeniero principal de seguridad de la información en Black Lotus Labs, la rama de investigación de seguridad de Lumen Technologies, que opera una de las redes troncales más grandes del Internet global. En una entrevista con KrebsOnSecurity, Horka dijo que Black Lotus Labs identificó una puerta trasera basada en la web en los sistemas Versa Director que pertenecen a cuatro víctimas estadounidenses y una víctima no estadounidense en los sectores de ISP y MSP, y que la primera actividad de explotación conocida ocurrió en un ISP estadounidense el 12 de junio de 2024. «Esto convierte a Versa Director en un objetivo lucrativo para los actores de amenazas persistentes avanzadas (APT) que quieran ver o controlar la infraestructura de red a escala, o pivotar hacia redes adicionales (o posteriores) de interés», escribió Horka en una publicación de blog publicada hoy. Black Lotus Labs dijo que evaluó con «mediana» confianza que Volt Typhoon era responsable de las vulneraciones, y señaló que las intrusiones tienen el sello distintivo del grupo de espionaje patrocinado por el estado chino, incluidos los ataques de día cero dirigidos a los proveedores de infraestructura de TI y las puertas traseras basadas en Java que se ejecutan solo en la memoria. En mayo de 2023, la Agencia de Seguridad Nacional (NSA), el Buró Federal de Investigaciones (FBI) y la Agencia de Seguridad de Infraestructura de Ciberseguridad (CISA) emitieron una advertencia conjunta (PDF) sobre Volt Typhoon, también conocido como “Bronze Silhouette” e “Insidious Taurus”, que describía cómo el grupo utiliza dispositivos de red de pequeñas oficinas/oficinas domésticas (SOHO) para ocultar su actividad. A principios de diciembre de 2023, Black Lotus Labs publicó sus hallazgos sobre “KV-botnet”, miles de enrutadores SOHO comprometidos que se encadenaron para formar una red de transferencia de datos encubierta que respaldaba a varios grupos de piratería patrocinados por el estado chino, incluido Volt Typhoon. En enero de 2024, el Departamento de Justicia de EE. UU. reveló que el FBI había ejecutado un desmantelamiento autorizado por un tribunal de la KV-botnet poco antes de que Black Lotus Labs publicara su informe de diciembre. En febrero de 2024, la CISA se unió nuevamente al FBI y la NSA para advertir que Volt Typhoon había comprometido los entornos de TI de múltiples organizaciones de infraestructura crítica, principalmente en los sectores de comunicaciones, energía, sistemas de transporte y agua y aguas residuales, en los Estados Unidos continentales y no continentales y sus territorios, incluido Guam. “La elección de objetivos y el patrón de comportamiento de Volt Typhoon no son consistentes con las operaciones tradicionales de espionaje cibernético o recopilación de inteligencia, y las agencias autoras estadounidenses evalúan con gran confianza que los actores de Volt Typhoon se están posicionando previamente en las redes de TI para permitir el movimiento lateral a OT [operational technology] “China está desarrollando la capacidad de causar estragos físicos en nuestra infraestructura crítica en el momento que elija”, advirtió esa alerta. En un discurso en la Universidad de Vanderbilt en abril, el director del FBI, Christopher Wray, dijo que China está desarrollando la “capacidad de causar estragos físicos en nuestra infraestructura crítica en el momento que elija”, y que el plan de China es “dar golpes contra la infraestructura civil para tratar de inducir el pánico”. Ryan English, ingeniero de seguridad de la información en Lumen, dijo que es decepcionante que su empleador no haya obtenido al menos una mención honorífica en el aviso de seguridad de Versa. Pero dijo que está contento de que ahora haya muchos menos sistemas Versa expuestos a este ataque. “Durante las últimas nueve semanas, Lumen ha sido muy íntimo con su liderazgo con el objetivo en mente de ayudarlos a mitigar esto”, dijo English. “Les hemos dado todo lo que pudimos a lo largo del camino, por lo que apesta que se haga referencia a ellos solo como un tercero”.