Ciberseguridad 360 | Hackers chinos infectan con malware una red militar holandesa

Un grupo de ciberespionaje chino irrumpi� en el Ministerio de Defensa holand�s el a�o pasado y despleg� malware en los dispositivos comprometidos, seg�n el Servicio de Inteligencia y Seguridad Militar (MIVD) de los Pa�ses Bajos.

Sin embargo, a pesar de la copia de seguridad de los sistemas pirateados, los da�os de la brecha fueron limitados debido a la segmentaci�n de la red.

"Los efectos de la intrusi�n fueron limitados porque la red de la v�ctima estaba segmentada de las redes m�s amplias del Ministerio de Defensa", declararon el MIVD y el Servicio General de Inteligencia y Seguridad (AIVD) en un informe conjunto.

"La red de la v�ctima ten�a menos de 50 usuarios. Su finalidad era la investigaci�n y el desarrollo (I+D) de proyectos no clasificados y la colaboraci�n con dos institutos de investigaci�n de terceros. Estas organizaciones han sido notificadas del incidente".

El malware RAT sobrevive a las actualizaciones de firmware

Durante la investigaci�n de seguimiento, tambi�n se descubri� en la red infectada una cepa de malware desconocida hasta entonces llamada Coathanger, un troyano de acceso remoto (RAT) dise�ado para infectar los dispositivos de seguridad de red Fortigate.

"En particular, el implante COATHANGER es persistente, recuper�ndose despu�s de cada reinicio mediante la inyecci�n de una copia de seguridad de s� mismo en el proceso responsable de reiniciar el sistema. Adem�s, la infecci�n sobrevive a las actualizaciones de firmware", advirtieron las dos agencias holandesas.

"Por lo tanto, incluso los dispositivos FortiGate totalmente parcheados pueden estar infectados, si fueron comprometidos antes de que se aplicara el �ltimo parche".

El malware opera de forma sigilosa y persistente, ocult�ndose mediante la interceptaci�n de llamadas al sistema para evitar revelar su presencia. Tambi�n persiste a trav�s de reinicios del sistema y actualizaciones de firmware.

Aunque los ataques no se atribuyeron a un grupo de amenazas espec�fico, el MIVD vincul� este incidente con gran seguridad a un grupo de piratas inform�ticos patrocinado por el Estado chino y a�adi� que esta actividad maliciosa forma parte de un patr�n m�s amplio de espionaje pol�tico chino dirigido contra los Pa�ses Bajos y sus aliados.

Ataque a los Firewall FortiGate

Los hackers chinos desplegaron el malware Coathanger con fines de ciberespionaje en los Firewall FortiGate vulnerables que comprometieron explotando la vulnerabilidad CVE-2022-42475 FortiOS SSL-VPN.

CVE-2022-42475 tambi�n fue explotada como un zero-day en ataques dirigidos a organizaciones gubernamentales y objetivos relacionados, como Fortinet revel� en enero de 2023.

Estos ataques tambi�n comparten muchas similitudes con otra campa�a de hacking china que tuvo como objetivo dispositivos SonicWall Secure Mobile Access (SMA) sin parches con malware de ciberespionaje tambi�n dise�ado para sobrevivir a las actualizaciones de firmware.

Se insta a las organizaciones a que apliquen sin demora los parches de seguridad de los proveedores a todos los dispositivos conectados a Internet (perif�ricos) en cuanto est�n disponibles para evitar intentos de ataque similares.

"Por primera vez, el MIVD ha decidido hacer p�blico un informe t�cnico sobre los m�todos de trabajo de los hackers chinos. Es importante atribuir estas actividades de espionaje por parte de China", declar� la Ministra de Defensa, Kajsa Ollongren.

"De este modo, aumentamos la resistencia internacional contra este tipo de ciberespionaje".

Fuente: bleepingcomputer