Hackers apoiados pelo Estado chinês invadiram uma rede de computadores usada pelas forças armadas holandesas, visando dispositivos Fortinet FortiGate.
“Esta (rede de computadores) foi usada para pesquisa e desenvolvimento (P&D) não classificados”, disse o Serviço Militar Holandês de Lucidez e Segurança (MIVD) em um transmitido. “Uma vez que nascente sistema era independente, não causou nenhum dano à rede de resguardo”. A rede tinha menos de 50 usuários.
A intrusão, que ocorreu em 2023, aproveitou uma irregularidade sátira de segurança conhecida no FortiOS SSL-VPN (CVE-2022-42475, pontuação CVSS: 9,3) que permite que um invasor não autenticado execute código facultativo por meio de solicitações principalmente criadas.
A exploração bem-sucedida da irregularidade abriu caminho para a implantação de um backdoor denominado COATHANGER a partir de um servidor controlado por um ator projetado para conceder entrada remoto persistente aos dispositivos comprometidos.
“O malware COATHANGER é furtivo e persistente”, disse o Núcleo Pátrio Holandês de Segurança Cibernética (NCSC). “Ele se esconde interceptando chamadas do sistema que podem revelar sua presença. Ele sobrevive a reinicializações e atualizações de firmware.”
COATHANGER é dissemelhante do BOLDMOVE, outro backdoor ligado a um suspeito de ameaço fundamentado na China que é divulgado por ter explorado o CVE-2022-42475 porquê um dia zero em ataques direcionados a uma entidade governamental europeia e um provedor de serviços gerenciados (MSP) localizado na África já em outubro de 2022.
O desenvolvimento marca a primeira vez que a Holanda atribui publicamente uma campanha de espionagem cibernética à China. A Reuters, que divulgou a história, disse que o malware recebeu o nome de um trecho de código que continha uma risco de Lamb to the Slaughter, um história do responsável britânico Roald Dahl.
Também chega dias depois de as autoridades dos EUA tomarem medidas para desmantelar uma botnet composta por roteadores Cisco e NetGear desatualizados que foram usados por agentes de ameaças chineses porquê o Volt Typhoon para ocultar as origens do tráfico malicioso.
No ano pretérito, a Mandiant, de propriedade do Google, revelou que um grupo de espionagem cibernética do nexo da China, rastreado porquê UNC3886, explorou zero-days em dispositivos Fortinet para implantar implantes THINCRUST e CASTLETAP para executar comandos arbitrários recebidos de um servidor remoto e exfiltrar dados confidenciais.
