Secondo un nuovo rapporto, gli attori cinesi delle minacce hanno violato la più grande rete di trasporti del Nord America in una probabile campagna di spionaggio informatico all’inizio di quest’anno.
Secondo quanto riferito, ad aprile gli aggressori hanno sfruttato una vulnerabilità zero-day nel prodotto di accesso remoto Pulse Connect Secure per penetrare nei sistemi IT della Metropolitan Transportation Authority (MTA) di New York .
Sebbene abbiano ottenuto la persistenza per diversi giorni e abbiano compromesso tre dei 18 sistemi informatici dell’autorità di transito, l’MTA ha affermato che gli attori non hanno rubato alcun cliente o dati interni e non hanno apportato modifiche ai sistemi critici.
“La nostra risposta all’attacco, coordinata e gestita a stretto contatto con le agenzie statali e federali, ha dimostrato che mentre un attacco in sé non era prevenibile, i nostri sistemi di difesa della sicurezza informatica ne hanno impedito la diffusione attraverso i sistemi MTA”, ha rivelato una dichiarazione inviata al New York Times .
Si dice che l’MTA abbia avviato una revisione forense in seguito agli avvertimenti sullo zero-day da parte delle autorità statunitensi.
Secondo il rapporto, l’attacco ha coinvolto due gruppi di gruppi di minacce cinesi. Un potenziale obiettivo dell’attacco erano le informazioni privilegiate sui vagoni della metropolitana e sulle reti ferroviarie che potrebbero consentire al Paese di dominare il mercato globale.
I clienti di Pulse Secure sono stati avvisati del bug a fine aprile. Come riportato all’epoca da Infosecurity , CVE-2021-22893 ha un punteggio CVSS di 10.0 ed è elencato come un bypass di autenticazione critico.
È stato sfruttato in combinazione con più CVE legacy nel prodotto dal 2019 e 2020 per bypassare l’autenticazione a più fattori, consentendo agli aggressori di installare shell Web ed eseguire attività di spionaggio.
Brooks Wallace, VP EMEA di Deep Instinct, ha affermato che sebbene gli aggressori non abbiano causato alcun danno fisico alle reti di trasporto intorno a New York, ne hanno avuto l’opportunità.
“Questo attacco avrebbe potuto facilmente essere un modo per gli aggressori di determinare se un’infrastruttura isolata potesse essere violata e smantellata, con piani per un attacco informatico più diffuso negli Stati Uniti in futuro”, ha aggiunto.
“Rimanere all’avanguardia dell’innovazione è l’unico modo per superare gli aggressori. La migliore protezione contro attacchi come questo è un approccio a più livelli che utilizza una varietà di soluzioni. Anche una mentalità “priva di prevenzione” è fondamentale”.