La compañía china de seguridad Quihoo 360 ha detectado e informado sobre unas filtraciones en los servidores de VPN SSL Sangfor y que han sido utilizados para acceder a entornos empresariales y gubernamentales.
El ataque ha sido ejecutado por el grupo de hackers que se hace llamar DarkHotel, quienes comenzaron el ataque el mes pasado.
Para realizar el ataque, los hackers aprovecharon una vulnerabilidad 0-day para comprometer los servidores SSL de Sangfor, y una vez consiguieron acceso, remplazaron la aplicación legítima de Sangfor llamada ‘SangforUD.exe’ por una fraudulenta creada por los hackers. Esta aplicación serviría como archivo de actualización para la aplicación de escritorio de Sangfor y así propagar el malware en los equipos de los clientes VPN.
Se cree que este grupo, que lleva operando desde 2007 está patrocinado por el Estado y que, según Google, el año pasado llegaron a utilizaron 5 vulnerabilidades 0-day.
Parece ser que uno de los objetivos es la filtración en organismos gubernamentales para conocer más sobre cómo maneja el gobierno chino la respuesta al brote de coronavirus. Además, semanas antes, el mismo grupo ya atacó a la Organización Mundial de la Salud (OMS) para conocer más sobre la actuación global de la pandemia.
Periodistas de ZDNet han intentando ponerse en contacto con los responsables de Sangfor, quienes les han remitido un informe en el que confirmaban que los servidores con firmware M6.3R1 y M6.1 eran vulnerables al ataque proporcionado por los hackers.
Actualmente el parche no está disponible, pero la compañía espera tenerlo listo en los próximos días.