Os atores de ameaças patrocinados pelo Estado e apoiados pela China obtiveram acesso a 20.000 sistemas Fortinet FortiGate em todo o mundo, explorando uma falha de segurança crítica conhecida entre 2022 e 2023, indicando que a operação teve um impacto mais amplo do que o anteriormente conhecido.
“O ator estatal por trás desta campanha já estava ciente desta vulnerabilidade nos sistemas FortiGate pelo menos dois meses antes de a Fortinet divulgar a vulnerabilidade”, disse o Centro Nacional de Segurança Cibernética Holandês (NCSC) em um novo boletim. “Durante o chamado período de dia zero, só o ator infectou 14.000 dispositivos.”
A campanha teve como alvo dezenas de governos ocidentais, organizações internacionais e um grande número de empresas da indústria de defesa. Os nomes das entidades não foram divulgados.
As descobertas baseiam-se num comunicado anterior de fevereiro de 2024, que concluiu que os atacantes tinham violado uma rede informática utilizada pelas forças armadas holandesas, explorando o CVE-2022-42475 (pontuação CVSS: 9,8), que permite a execução remota de código.
![Cíber segurança](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi4QYwwkNM8b5nO2fcokl4Kuax1bHQIiQJIsosHVik_h8JMymWnhUSrCkPTeFZaBj1Dq2zaisV-G5BjUJO1S9EzX5K8k_mgF2PPXfg5Hfr147Hks8qANF8WjhFRaLu7wEdHGEeIQR9wCJor3GLoiR6aclvY8vLOVpOs-rJ4K0S80yHCfK711xq9hs9T8zKG/s728-e365/1p-d-v4.png)
A intrusão abriu caminho para a implantação de um backdoor de codinome COATHANGER a partir de um servidor controlado por um ator, projetado para conceder acesso remoto persistente aos dispositivos comprometidos e atuar como ponto de lançamento para mais malware.
O NCSC disse que o adversário optou por instalar o malware muito depois de obter o acesso inicial, em um esforço para manter o controle sobre os dispositivos, embora não esteja claro quantas vítimas tiveram seus dispositivos infectados com o implante.
O desenvolvimento mais recente sublinha mais uma vez a tendência contínua de ataques cibernéticos direcionados a dispositivos de ponta para violar redes de interesse.
“Devido aos desafios de segurança dos dispositivos de ponta, estes dispositivos são um alvo widespread para agentes maliciosos”, disse o NCSC. “Os dispositivos de borda estão localizados na borda da rede de TI e regularmente têm uma conexão direta com a Web. Além disso, esses dispositivos muitas vezes não são suportados por soluções de detecção e resposta de endpoint (EDR).”