Según el Servicio de Seguridad e Inteligencia Militar holandés, un grupo de ciberespionaje chino irrumpió en el Ministerio de Defensa holandés el año pasado e implementó malware en dispositivos comprometidos de la red. En base a lo informado por el sector castrense de dicho país, el daño causado por la infracción fue limitado solo a 50 usuarios, debido a que la red se encontraba segmentada, lo cual limitó las puertas traseras de los sistemas pirateados.
«La red de víctimas tenía menos de 50 usuarios. Su propósito era la investigación y el desarrollo (I+D) de proyectos no clasificados y la colaboración con dos institutos de investigación de terceros. Estas organizaciones han sido notificadas del incidente».
El malware RAT sobrevive a las actualizaciones de firmware
En base a la investigación realizada, se descubrió que la red vulnerada, tenía una cepa de malware previamente desconocida llamada Coathanger, un troyano de acceso remoto (RAT) diseñado para infectar los dispositivos de seguridad de red Fortigate.
«En particular, el implante Coathanger es persistente y se recupera después de cada reinicio inyectando una copia de seguridad de sí mismo en el proceso responsable del reinicio del sistema. Además, la infección sobrevive a las actualizaciones del firmware«, por lo tanto, incluso los dispositivos FortiGate completamente parcheados pueden resultar infectados si se vieron comprometidos antes de que se aplicara el último parche», advirtieron los especialistas. Por otro lado, el malware opera de manera sigilosa y persistente, ocultándose e interceptando llamadas al sistema para evitar revelar su presencia.
Si bien los ataques no se atribuyeron a un grupo de amenazas específico, los investigadores vincularon el incidente a un grupo de piratería patrocinado por el estado chino, y agregaron que esta actividad maliciosa es parte de un patrón más amplio de espionaje político chino dirigido a los Países Bajos y sus aliados.
Cortafuegos FortiGate bajo ataque
Los piratas informáticos chinos implementaron el malware Coathanger con fines de ciberespionaje en firewalls FortiGate vulnerables que comprometieron al explotar la vulnerabilidad CVE-2022-42475 FortiOS SSL-VPN.
CVE-2022-42475 también se aprovechó como día cero en ataques dirigidos a organizaciones gubernamentales y objetivos relacionados, como reveló Fortinet en enero de 2023.
Estos ataques también comparten muchas similitudes con otra campaña de piratería china dirigida a dispositivos SonicWall Secure Mobile Access (SMA) sin parches con malware de ciberespionaje también diseñado para sobrevivir a las actualizaciones de firmware.
En virtud de esto, como una forma de hacer frente a estos ataques, se recomienda a las organizaciones aplicar rápidamente parches de seguridad de los proveedores para todos los dispositivos conectados a Internet tan pronto como estén disponibles para evitar ataques similares.
Fuente
Ciberprisma - alianza por la ciberseguridad 