El Servicio de Inteligencia y Seguridad Militar de los Países Bajos (MIVD) ha advertido hoy que el impacto de una campaña de ciberespionaje chino, revelada a principios de este año, es «mucho mayor de lo que se conocía previamente».
Brecha de seguridad masiva
En febrero, el MIVD, en un informe conjunto con el Servicio General de Inteligencia y Seguridad (AIVD), reveló que hackers chinos explotaron una vulnerabilidad crítica de ejecución remota de código en FortiOS/FortiProxy (CVE-2022-42475) durante varios meses entre 2022 y 2023. Utilizaron esta vulnerabilidad para desplegar malware en dispositivos de seguridad de red Fortigate vulnerables.
«Durante este período de ‘zero-day’, el actor infectó 14.000 dispositivos. Los objetivos incluyen docenas de gobiernos (occidentales), organizaciones internacionales y un gran número de empresas dentro de la industria de defensa,» declaró el MIVD.
Malware persistente
El malware utilizado, conocido como Coathanger remote access trojan (RAT), también se encontró en una red del Ministerio de Defensa holandés utilizada en proyectos de investigación y desarrollo no clasificados. No obstante, debido a la segmentación de la red, los atacantes fueron bloqueados y no pudieron acceder a otros sistemas.
El MIVD descubrió que esta cepa de malware, previamente desconocida, podía sobrevivir a reinicios del sistema y actualizaciones de firmware, y fue desplegada por un grupo de hackers patrocinado por el estado chino en una campaña de espionaje político dirigida a los Países Bajos y sus aliados.
«Esto dio al actor estatal acceso permanente a los sistemas. Incluso si una víctima instala actualizaciones de seguridad de FortiGate, el actor estatal sigue manteniendo este acceso,» añadió el MIVD.
Acceso a miles de sistemas FortiGate
Desde febrero, el servicio de inteligencia militar holandés ha descubierto que el grupo de amenazas chino obtuvo acceso a al menos 20.000 sistemas FortiGate en todo el mundo entre 2022 y 2023, al menos dos meses antes de que Fortinet divulgara la vulnerabilidad CVE-2022-42475.
El MIVD cree que los hackers chinos todavía tienen acceso a muchas víctimas debido a que el malware Coathanger es difícil de detectar, ya que intercepta llamadas del sistema para evitar ser descubierto y es complicado de eliminar, ya que sobrevive a las actualizaciones de firmware.
CVE-2022-42475 también fue explotada como una vulnerabilidad zero-day para atacar organizaciones gubernamentales y entidades relacionadas, según divulgó Fortinet en enero de 2023.
Similaridades con otras campañas de hacking
Estos ataques tienen muchas similitudes con otra campaña de hacking chino que apuntó a dispositivos SonicWall Secure Mobile Access (SMA) sin parches con malware de ciberespionaje diseñado para resistir actualizaciones de firmware.
Fuente:bleeping computer
