Volgens Mandiant exploiteerden Chinese staatgesponsorde hackers de kwetsbaarheid in ESG-toestellen van Barracuda. De hackers maakten slachtoffers in minstens zestien landen en een hoog aantal overheidsinstellingen werden getroffen.
Mandiant kreeg de leiding over het onderzoek naar de kwetsbaarheid CVE-2023-2868. Die werd op 19 mei 2023 voor het eerst aangetroffen in Email Security Gateway (ESG)-toestellen van Barracuda Networks.
De kwetsbaarheid maakt een command injection-aanval op afstand mogelijk. Hackers misbruiken de kwetsbaarheid al sinds oktober 2022 om gevoelige informatie te stelen.
Spionage door China
De gestolen informatie blijkt nu volgens onderzoek van Mandiant naar de Chinese overheid doorgesluisd te worden. Zo kwam er ook veel informatie van overheidsinstellingen in handen van China. Een derde van de slachtoffers zijn namelijk overheidsinstellingen.
Het is nog niet duidelijk om welke hackersgroep het gaat, zolang wordt deze geïdentificeerd als UNC4841. De beveiligingsonderzoekers baseren hun claim op basis van grote overlap in infrastructuur en malwarecode met andere door China gesteunde groepen. Daarnaast is het opvallend dat hackers specifiek naar e-mailaccounts zochten in landen met politiek belang voor China.
De eerste e-mail met malware om de kwetsbaarheid uit te buiten, dateert van 10 oktober 2022. Op 19 mei 2023 kwamen de acties van UNC4841 voor het eerst op de radar van het Barracuda-team. Twee dagen later bracht het bedrijf een patch uit om het misbruik te stoppen, de hackersgroep reageerde door de malware te wijzigen. De patch kon daardoor de hackersgroep niet uit getroffen toestellen verwijderen. Barracuda vraagt klanten van getroffen toestellen sindsdien de apparatuur volledig te vervangen.
Lees ook: Barracuda vraagt klanten kwetsbare ESG-apparaten te vervangen