Hackers Chineses Exploraram Falha no FortiGate para Violar Rede Militar Holandesa
7 de Fevereiro de 2024

Hackers apoiados pelo estado chinês invadiram uma rede de computadores usada pelas forças armadas holandesas, mirando dispositivos Fortinet FortiGate.

"Esta [rede de computadores] era usada para pesquisa e desenvolvimento (P&D) não classificada," disse o Serviço de Inteligência e Segurança Militar Holandês (MIVD) em um comunicado.

"Como este sistema era autônomo, não resultou em nenhum dano à rede de defesa".

A rede tinha menos de 50 usuários.

A invasão, que ocorreu em 2023, aproveitou uma falha de segurança crítica conhecida no FortiOS SSL-VPN ( CVE-2022-42475 , pontuação CVSS: 9.3) que permite a um atacante não autenticado executar código arbitrário por meio de solicitações especialmente elaboradas.

A exploração bem-sucedida da falha abriu caminho para a implantação de um backdoor chamado COATHANGER a partir de um servidor controlado pelo ator, projetado para conceder acesso remoto persistente aos aparelhos comprometidos.

"O malware COATHANGER é furtivo e persistente", disse o Centro Nacional de Segurança Cibernética da Holanda (NCSC).

"Ele se esconde por meio de chamadas de sistema que poderiam revelar sua presença.

Ele sobrevive a reinicializações e atualizações de firmware."

COATHANGER é distinto de BOLDMOVE, outro backdoor ligado a um suposto ator de ameaças baseado na China que se sabe ter explorado a CVE-2022-42475 como um zero-day em ataques a uma entidade governamental europeia e um provedor de serviços gerenciados (MSP) localizado na África já em outubro de 2022.

O acontecimento marca a primeira vez que a Holanda atribui publicamente uma campanha de espionagem cibernética à China.

Reuters, que publicou a história, disse que o malware tem o nome de um trecho de código que continha uma linha de Lamb to the Slaughter, um conto do autor britânico Roald Dahl.

Ele também surge dias depois de as autoridades dos EUA tomarem medidas para desmantelar uma botnet composta por roteadores Cisco e NetGear desatualizados que eram usados por atores de ameaças chineses como o Volt Typhoon para ocultar a origem do tráfego malicioso.

No ano passado, a Mandiant de propriedade do Google revelou que um grupo de espionagem cibernética de nexos chineses rastreado como UNC3886 explorou zero-days em aparelhos Fortinet para implantar THINCRUST e CASTLETAP para executar comandos arbitrários recebidos de um servidor remoto e exfiltrar dados sensíveis.

Publicidade

Curso gratuito de Python

O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...