El Servicio de Inteligencia y Seguridad Militar de los Países Bajos (MIVD) advirtió hoy que el impacto de una campaña de ciberespionaje chino, revelada a principios de este año, es «mucho mayor de lo que se sabía anteriormente».
Vulnerabilidad explotada en dispositivos FortiGate
Según el MIVD, en un informe conjunto con el Servicio General de Inteligencia y Seguridad (AIVD) publicado en febrero, los hackers chinos explotaron una vulnerabilidad crítica de ejecución remota de código en FortiOS/FortiProxy (CVE-2022-42475) durante varios meses entre 2022 y 2023. Esta vulnerabilidad permitió a los atacantes desplegar malware en dispositivos de seguridad de red FortiGate vulnerables.
«Durante este período de ‘zero-day’, el actor infectó solo 14.000 dispositivos. Los objetivos incluían docenas de gobiernos (occidentales), organizaciones internacionales y un gran número de empresas dentro de la industria de defensa», declaró el MIVD.
Impacto en redes del Ministerio de Defensa holandés
El malware, conocido como Coathanger, también fue encontrado en una red del Ministerio de Defensa de los Países Bajos utilizada para investigación y desarrollo (I+D) de proyectos no clasificados. Sin embargo, debido a la segmentación de la red, los atacantes fueron bloqueados y no pudieron moverse a otros sistemas.
El MIVD descubrió que esta cepa de malware, previamente desconocida, podía sobrevivir a reinicios del sistema y actualizaciones de firmware. Este malware fue desplegado por un grupo de hackers patrocinado por el estado chino en una campaña de espionaje político dirigida a los Países Bajos y sus aliados.
«Esto dio al actor estatal acceso permanente a los sistemas. Incluso si una víctima instala actualizaciones de seguridad de FortiGate, el actor estatal continúa manteniendo este acceso», añadió el MIVD.
Acceso global a sistemas FortiGate
Desde febrero, el servicio de inteligencia militar neerlandés ha descubierto que el grupo de amenaza chino obtuvo acceso a al menos 20.000 sistemas FortiGate en todo el mundo durante 2022 y 2023. Este acceso se logró al menos dos meses antes de que Fortinet divulgara la vulnerabilidad CVE-2022-42475.
El MIVD cree que los hackers chinos aún tienen acceso a muchos de estos sistemas, ya que el malware Coathanger es difícil de detectar y eliminar, debido a su capacidad para interceptar llamadas del sistema y sobrevivir a actualizaciones de firmware.
Ataques similares y recomendaciones
Esta campaña de ataques comparte muchas similitudes con otra campaña de hacking chino que apuntó a dispositivos SonicWall Secure Mobile Access (SMA) no parcheados con malware de ciberespionaje diseñado para resistir actualizaciones de firmware.
Los servicios de inteligencia neerlandeses y el Centro Nacional de CiberseguridadLas soluciones de ciberseguridad son esenciales en la era di... (NCSC) consideran probable que el actor estatal pueda expandir su acceso a cientos de víctimas en todo el mundo y realizar acciones adicionales, como el robo de datos.