[ 229,037 page views, 81,838 usuários - média últimos 90 dias ] - [ 5.767 assinantes na newsletter, taxa de abertura 27% ]

Chineses usam bug no FortiGate para violar rede militar holandesa

Hackers apoiados pelo governo chinês invadiram uma rede de computadores usada pelas forças armadas holandesas, por meio de um bug no firewalls FortiGate da Fortinet. A invasão, ocorrida no ano passado, foi feita explorando uma falha crítica de segurança conhecida no FortiOS SSL-VPN (CVE-2022-42475) que permite que um invasor não autenticado execute código arbitrário por meio de solicitações especialmente criadas. O bug foi classificado com escore de 9.3 no sistema de pontuação comum de vulnerabilidades (CVSS).

“Esta [rede de computadores] foi usada para pesquisa e desenvolvimento [P&D] e não envolve nenhumainformação classificada ou atividade que coloque em risco a segurança”, disse o Serviço Militar de Inteligência e Segurança Holandês (MIVD) em um comunicado. “Como este sistema era independente, não causou nenhum dano à rede de defesa.” A rede tem menos de 50 usuários.

A exploração bem-sucedida da falha permitiu a implantação de uma backdoor chamada Coathanger a partir de um servidor controlado por um hacker, projetado para conceder acesso remoto persistente aos dispositivos comprometidos. “O malware Coathanger é furtivo e persistente”, disse o Centro Nacional Holandês de Segurança Cibernética (NCSC). “Ele se esconde interceptando chamadas do sistema que podem revelar sua presença. Ele sobrevive a reinicializações e atualizações de firmware.”

Veja isso
Hackers ligados à Rússia e China exploram dia zero do WinRAR
Hackers chineses tentam se infiltrar em ministérios europeus

A invasão marca a primeira vez que a Holanda atribui publicamente uma campanha de espionagem cibernética à China. A Reuters, a primeira a divulgar a história, disse que o nome do malware vem de um trecho de código que continha uma linha de “Lamb to the Slaughter”, um conto do autor britânico Roald Dahl.

No ano passado, a Mandiant, empresa de segurança cibernética pertencente ao Google, revelou que o grupo de espionagem cibernética chinês rastreado como UNC3886 explorou dias zero em dispositivos Fortinet para implantar os malwares ThinCrust e Castletap para executar comandos arbitrários recebidos de um servidor remoto e exfiltrar dados confidenciais.