Atores de ameaças patrocinados pelo estado, respaldados pela China, obtiveram acesso a 20.000 sistemas Fortinet FortiGate em todo o mundo, explorando uma falha de segurança crítica conhecida entre 2022 e 2023, indicando que a operação teve um impacto mais amplo do que se sabia anteriormente.
"O ator estatal por trás desta campanha já estava ciente dessa vulnerabilidade nos sistemas FortiGate pelo menos dois meses antes da Fortinet divulgar a vulnerabilidade", disse o Centro Nacional de Cibersegurança da Holanda (NCSC) em um novo boletim.
Durante este período, conhecido como zero-day, o ator sozinho infectou 14.000 dispositivos.
A campanha teve como alvo dezenas de governos ocidentais, organizações internacionais e um grande número de empresas dentro da indústria de defesa.
Os nomes das entidades não foram divulgados.
Os achados se baseiam em um aviso anterior de fevereiro de 2024, que descobriu que os atacantes haviam violado uma rede de computadores usada pelas forças armadas holandesas, explorando o
CVE-2022-42475
(pontuação CVSS: 9.8), que permite a execução remota de código.
A intrusão abriu caminho para a implantação de um backdoor codinome COATHANGER de um servidor controlado pelo ator que é projetado para conceder acesso remoto persistente aos dispositivos comprometidos e agir como um ponto de lançamento para mais malware.
O NCSC disse que o adversário optou por instalar o malware muito tempo depois de obter o acesso inicial, numa tentativa de manter seu controle sobre os dispositivos, embora não esteja claro quantas vítimas tiveram seus dispositivos infectados com o implante.
O último desenvolvimento destaca mais uma vez a tendência contínua de ataques cibernéticos visando dispositivos de borda para violar redes de interesse.
"Devido aos desafios de segurança dos dispositivos de borda, esses dispositivos são um alvo popular para atores maliciosos", disse o NCSC.
Os dispositivos de borda estão localizados na borda da rede de TI e frequentemente têm uma conexão direta com a internet.
Além disso, esses dispositivos muitas vezes não são suportados por soluções de Endpoint Detection and Response (EDR).
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...