Hackers chinos aprovecharon la falla de FortiGate para violar la red militar holandesa


07 de febrero de 2024Sala de redacciónCiberespionaje / Seguridad de red

Los piratas informáticos respaldados por el estado chino irrumpieron en una red informática utilizada por las fuerzas armadas holandesas atacando los dispositivos Fortinet FortiGate.

«Este [computer network] se utilizó para investigación y desarrollo (I+D) no clasificados», el Servicio de Seguridad e Inteligencia Militar Holandés (MIVD) dicho en una oracion. «Debido a que este sistema era autónomo, no provocó ningún daño a la red de defensa». La red tenía menos de 50 usuarios.

La intrusión, que tuvo lugar en 2023, aprovechó una falla de seguridad crítica conocida en FortiOS SSL-VPN (CVE-2022-42475, puntuación CVSS: 9.3) que permite a un atacante no autenticado ejecutar código arbitrario a través de solicitudes especialmente diseñadas.

La seguridad cibernética

La explotación exitosa de la falla allanó el camino para el despliegue de una puerta trasera denominada PERCHERO desde un servidor controlado por actores que está diseñado para otorgar acceso remoto persistente a los dispositivos comprometidos.

«El malware COATHANGER es sigiloso y persistente», afirmó el Centro Nacional de Seguridad Cibernética de Holanda (NCSC). «Se esconde al conectar llamadas al sistema que podrían revelar su presencia. Sobrevive a reinicios y actualizaciones de firmware».

COATHANGER se diferencia de BOLDMOVE, otra puerta trasera vinculada a un presunto actor de amenazas con sede en China que se sabe que aprovechó CVE-2022-42475 como día cero en ataques dirigidos a una entidad gubernamental europea y un proveedor de servicios gestionados (MSP) ubicado en África. ya en octubre de 2022.

Este hecho marca la primera vez que los Países Bajos atribuyen públicamente una campaña de ciberespionaje a China. Reuters, que en bancarrota La historia, dijo que el malware lleva el nombre de un fragmento de código que contenía una línea de Lamb to the Slaughter, un cuento del autor británico Roald Dahl.

La seguridad cibernética

También llega días después de que las autoridades estadounidenses tomaran medidas para desmantelar una botnet que incluía enrutadores Cisco y NetGear obsoletos que fueron utilizados por actores de amenazas chinos como Volt Typhoon para ocultar los orígenes del tráfico malicioso.

El año pasado, Mandiant, propiedad de Google, reveló que un grupo de ciberespionaje vinculado a China, rastreado como UNC3886, explotó los días cero en dispositivos Fortinet para implementar implantes THINCRUST y CASTLETAP para ejecutar comandos arbitrarios recibidos desde un servidor remoto y filtrar datos confidenciales.

¿Encontró interesante este artículo? Siga con nosotros Gorjeo y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57