Mandiant ha risposto di recente a diversi incidenti informatici che hanno coinvolto lo sfruttamento dei dispositivi VPN di Pulse Secure. Il report descrive una nuova vulnerabilità zero-day, differenti tecniche per bypassare l’autenticazione a fattore singolo o a più fattori e come il malware resiste agli aggiornamenti e ai reset sui dispositivi Pulse Secure.
Queste tecniche vengono utilizzate da almeno due gruppi, tra cui UNC2630 (un gruppo che ha sospetti legami con APT5). Mandiant ha identificato 12 famiglie di malware specifiche per i dispositivi Pulse Secure ed utilizzate in questa campagna.
Charles Carmakal, SVP and CTO, FireEye Mandiant, dichiara: «Negli ultimi mesi, Mandiant ha risposto a diverse intrusioni che hanno coinvolto lo sfruttamento di vulnerabilità nella soluzione VPN Pulse Secure. Nel corso delle nostre investigazioni, abbiamo appreso che uno zero-day e altre vulnerabilità (note) nella soluzione VPN sono state sfruttate per rendere possibile un accesso fraudolento in decine di aziende, tra cui agenzie governative, società finanziarie e aziende nel settore della difesa, sia negli Stati Uniti sia in Europa. Sospettiamo che queste intrusioni siano in linea con gli obiettivi strategici di acquisizione di dati e informazioni di intelligence da parte della Cina».
«Questi aggressori sono altamente preparati e hanno una profonda conoscenza tecnica del prodotto Pulse Secure. Hanno sviluppato un malware che gli ha permesso di raccogliere credenziali Active Directory e di bypassare l’autenticazione a più fattori sui dispositivi Pulse Secure per accedere alle reti delle vittime. Inoltre, hanno modificato diversi script sul sistema Pulse Secure per permettere al loro malware di resistere agli aggiornamenti del software e ai reset di fabbrica. Questa tecnica ha permesso ai cyber criminali di rimanere nelle reti delle vittime per diversi mesi senza essere rilevati».
«I loro obiettivi principali sono restare all’interno delle reti per più tempo possibile, acquisire credenziali e rubare dati proprietari. Crediamo che diversi gruppi di cyber spionaggio stiano utilizzando questi exploit e strumenti e vi sono alcune somiglianze tra porzioni di questa attività e un aggressore cinese che denominiamo APT5».
«Lo sfruttamento di vulnerabilità in questo prodotto non deve essere confuso con un’intrusione nella supply chain. Questi aggressori usano sia vulnerabilità note, oltre alla vulnerabilità precedentemente sconosciuta CVE-2021-22893. Non abbiamo prove, al momento, che si tratti di una compromissione della supply chain della rete o del software Ivanti».
