Hackers Chineses Exploraram Falha no FortiGate para Violar Rede Militar Holandesa
7 de Fevereiro de 2024

Hackers apoiados pelo estado chinês invadiram uma rede de computadores usada pelas forças armadas holandesas, mirando dispositivos Fortinet FortiGate.

"Esta [rede de computadores] era usada para pesquisa e desenvolvimento (P&D) não classificada," disse o Serviço de Inteligência e Segurança Militar Holandês (MIVD) em um comunicado.

"Como este sistema era autônomo, não resultou em nenhum dano à rede de defesa".

A rede tinha menos de 50 usuários.

A invasão, que ocorreu em 2023, aproveitou uma falha de segurança crítica conhecida no FortiOS SSL-VPN ( CVE-2022-42475 , pontuação CVSS: 9.3) que permite a um atacante não autenticado executar código arbitrário por meio de solicitações especialmente elaboradas.

A exploração bem-sucedida da falha abriu caminho para a implantação de um backdoor chamado COATHANGER a partir de um servidor controlado pelo ator, projetado para conceder acesso remoto persistente aos aparelhos comprometidos.

"O malware COATHANGER é furtivo e persistente", disse o Centro Nacional de Segurança Cibernética da Holanda (NCSC).

"Ele se esconde por meio de chamadas de sistema que poderiam revelar sua presença.

Ele sobrevive a reinicializações e atualizações de firmware."

COATHANGER é distinto de BOLDMOVE, outro backdoor ligado a um suposto ator de ameaças baseado na China que se sabe ter explorado a CVE-2022-42475 como um zero-day em ataques a uma entidade governamental europeia e um provedor de serviços gerenciados (MSP) localizado na África já em outubro de 2022.

O acontecimento marca a primeira vez que a Holanda atribui publicamente uma campanha de espionagem cibernética à China.

Reuters, que publicou a história, disse que o malware tem o nome de um trecho de código que continha uma linha de Lamb to the Slaughter, um conto do autor britânico Roald Dahl.

Ele também surge dias depois de as autoridades dos EUA tomarem medidas para desmantelar uma botnet composta por roteadores Cisco e NetGear desatualizados que eram usados por atores de ameaças chineses como o Volt Typhoon para ocultar a origem do tráfego malicioso.

No ano passado, a Mandiant de propriedade do Google revelou que um grupo de espionagem cibernética de nexos chineses rastreado como UNC3886 explorou zero-days em aparelhos Fortinet para implantar THINCRUST e CASTLETAP para executar comandos arbitrários recebidos de um servidor remoto e exfiltrar dados sensíveis.

Publicidade

Black November Solyd 2024

Em nenhum outro momento você conseguirá pagar tão pouco em um treinamento e certificação Solyd. A Solyd não te oferece um simples curso online. Mas sim uma experiência completa de aulas com três profissionais que vivem e trabalham como um hacker 24 horas por dia, que se dedicam durante todo ano a tirar seus sonhos de criança do papel. Ter algo desse nível era impossível há apenas 10 anos atrás, e hoje conseguimos entregar o melhor programa de educação em hacking do mundo. O melhor dia para começar sempre foi HOJE. Saiba mais...