Ataques zero-day à Fortinet estão ligados a hackers chineses suspeitos
17 de Março de 2023

Um grupo de hackers suspeito de ser chinês foi vinculado a uma série de ataques a organizações governamentais explorando uma vulnerabilidade zero-day da Fortinet ( CVE-2022-41328 ) para implantar malware.

A falha de segurança permitiu que os atores ameaçadores implantassem payloads de malware executando código ou comandos não autorizados em dispositivos de firewall FortiGate não corrigidos, como divulgado pela Fortinet na semana passada.

Análises adicionais revelaram que os atacantes poderiam usar o malware para espionagem cibernética, incluindo exfiltração de dados, download e gravação de arquivos em dispositivos comprometidos ou abertura de shells remotos ao receber pacotes ICMP maliciosamente criados.

Um dos incidentes foi descoberto quando dispositivos FortiGate de um cliente foram desligados com erros relacionados à integridade do firmware FIPS, tornando-os inoperáveis.

Os dispositivos pararam de inicializar para impedir a infiltração na rede, uma prática padrão para sistemas habilitados para FIPS.

Os firewalls foram comprometidos usando uma exploração de travessia de caminho FortiGate CVE-2022-41328 , e seu desligamento simultâneo levou a Fortinet a suspeitar que o ataque originou-se de um dispositivo FortiManager.

A empresa disse que esses foram ataques altamente direcionados contra redes governamentais e grandes organizações, com os atacantes também mostrando "capacidades avançadas", incluindo engenharia reversa do sistema operacional dos dispositivos FortiGate.

"O ataque é altamente direcionado, com algumas pistas de alvos governamentais ou relacionados ao governo preferenciais", disse a Fortinet.

"A exploração requer uma compreensão profunda do FortiOS e do hardware subjacente.

Implantes personalizados mostram que o ator tem capacidades avançadas, incluindo engenharia reversa de várias partes do FortiOS".

Um novo relatório da Mandiant diz que os ataques ocorreram no meio de 2022 e os atribui a um grupo de ameaças com nexus na China que a empresa rastreia como UNC3886.

"As vítimas recentes dos operadores de espionagem chineses incluem DIB, governo, telecomunicações e tecnologia", disse o CTO da Mandiant, Charles Carmakal.

"Dado o quão incrivelmente difícil eles são de encontrar, a maioria das organizações não pode identificá-los por conta própria.

Não é incomum para campanhas chinesas acabarem como intrusões de vários anos".

Enquanto investigava o incidente em conjunto com a Fortinet, a Mandiant descobriu que, após invadir os dispositivos Fortinet, UNC3886 os backdoorizou usando duas novas cepas de malware para acesso continuado às redes das vítimas: um backdoor Thincrust baseado em Python e o backdoor passivo Castletap ICMP port-knocking.

Os atores da ameaça inicialmente acessaram um dispositivo FortiManager acessível pela Internet antes de explorar a falha zero-day CVE-2022-41328 para gravar arquivos que permitiram que eles se movessem lateralmente pela rede.

Após obter persistência em dispositivos FortiManager e FortiAnalyzer via backdoor Thincrust, o grupo usou scripts FortiManager para backdoorizar vários firewalls FortiGate usando Castletap.

Em seguida, o atacante conectou-se a máquinas ESXi e vCenter implantando backdoors VirtualPita e VirtualPie para manter seu controle sobre os hipervisores e máquinas de convidados comprometidos, garantindo que suas atividades maliciosas não fossem detectadas.

Em dispositivos configurados para restringir o acesso da Internet, os atacantes instalaram um redirecionador de tráfego (Tableflip) e um backdoor passivo (Reptile) após pivotar de firewalls FortiGate anteriormente backdoorizados usando Castletap.

"Acreditamos que a segmentação desses dispositivos continuará sendo a técnica preferida para grupos de espionagem que tentam acessar alvos difíceis", disse Ben Read, chefe de análise de ciberespionagem da Mandiant no Google Cloud.

"Isso se deve ao fato de serem acessíveis pela Internet, permitindo que os atores controlem o momento da intrusão e, no caso de dispositivos VPN e roteadores, a grande quantidade de conexões regulares de entrada torna mais fácil se misturar".

Publicidade

Cuidado com o deauth, a tropa do SYWP vai te pegar

A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo. Saiba mais...