Hackers apoiados pelo governo chinês invadiram uma rede de computadores usada pelas forças armadas holandesas, por meio de um bug no firewalls FortiGate da Fortinet. A invasão, ocorrida no ano passado, foi feita explorando uma falha crítica de segurança conhecida no FortiOS SSL-VPN (CVE-2022-42475) que permite que um invasor não autenticado execute código arbitrário por meio de solicitações especialmente criadas. O bug foi classificado com escore de 9.3 no sistema de pontuação comum de vulnerabilidades (CVSS).
“Esta [rede de computadores] foi usada para pesquisa e desenvolvimento [P&D] e não envolve nenhumainformação classificada ou atividade que coloque em risco a segurança”, disse o Serviço Militar de Inteligência e Segurança Holandês (MIVD) em um comunicado. “Como este sistema era independente, não causou nenhum dano à rede de defesa.” A rede tem menos de 50 usuários.
A exploração bem-sucedida da falha permitiu a implantação de uma backdoor chamada Coathanger a partir de um servidor controlado por um hacker, projetado para conceder acesso remoto persistente aos dispositivos comprometidos. “O malware Coathanger é furtivo e persistente”, disse o Centro Nacional Holandês de Segurança Cibernética (NCSC). “Ele se esconde interceptando chamadas do sistema que podem revelar sua presença. Ele sobrevive a reinicializações e atualizações de firmware.”
Veja isso
Hackers ligados à Rússia e China exploram dia zero do WinRAR
Hackers chineses tentam se infiltrar em ministérios europeus
A invasão marca a primeira vez que a Holanda atribui publicamente uma campanha de espionagem cibernética à China. A Reuters, a primeira a divulgar a história, disse que o nome do malware vem de um trecho de código que continha uma linha de “Lamb to the Slaughter”, um conto do autor britânico Roald Dahl.
No ano passado, a Mandiant, empresa de segurança cibernética pertencente ao Google, revelou que o grupo de espionagem cibernética chinês rastreado como UNC3886 explorou dias zero em dispositivos Fortinet para implantar os malwares ThinCrust e Castletap para executar comandos arbitrários recebidos de um servidor remoto e exfiltrar dados confidenciais.