Apt5, un gruppo legato al governo di Pechino, a detta di FireEye sta prendendo di mira reti Vpn basate su server Fortinet e Pulse Scure, in cui sono presenti vulnerabilità. Pur già scoperte e corrette dai vendor, le falle restano presenti in molte reti az
Attenzione a fidarsi di una Vpn, il sistema di comunicazione apparentemente più sicuro: criminali informatici cinesi del guppo Apt5 (anche noto come Manganese) stanno prendendo di mira le Virtual Private Network aziendali vulnerabili, in particolare quelle basate su server di Fortinet e Pulse Secure. Vulnerabilità presenti nei sistemi Fortigate SSL Vpn di Fortinet e SSL Vpn di Pulse Secure, entrambi molto diffusi tra le aziende: il primo, in particolare, conta oltre 480mila installazioni nel mondo, il secondo arriva a 42mila ed è un sistema di fascia alta.
L’allarme sulle attività cybercriminali in corso è stato lanciato da FireEye, ma i bug sono noti da mesi, anzi sono già stati risolti dai due produttori con la distribuzione di patch. Il problema, però, è che dal mese di agosto sono aumentati tentativi di attacco del gruppo Apt5 (che è in realtà un insieme di sottogruppi di hacker, forse legati al governo cinese a detta di FireEye, e in attività fin dal 2007) e c’è terreno fertile per infezioni, dato che molti server per Vpn non sono stati aggiornati con i correttivi rilasciati da Fortinet e Pulse Secure.
Stando alle osservazioni di FireEye, al momento gli attacchi di Apt5 si stanno focalizzando su aziende di telecomunicazione, in particolare su quelle che si gestiscono le comunicazioni satellitari. Il gruppo utilizza un malware con capacità di keylogging per infettare reti aziendali o dispositivi di dipendenti e dirigenti.
Entrambe le vulnerabilità (CVE-2018-13379 quella di Fortinet e CVE-2019-11510 quella di Pulse Secure) consentono a chi attacca di sottrarre file da un server Vpn senza la necessità di autenticarsi. E al momento, secondo FireEye, almeno qualche decina di migliaia di server di entrambi i marchi non hanno ancora installato le patch.