Espías chinos han pirateado redes holandesas con el nuevo malware Coathanger

Los esp√≠as respaldados por el Estado chino utilizaron un nuevo malware llamado Coathanger para irrumpir en las redes de defensa holandesas el a√Īo pasado y robar informaci√≥n confidencial, seg√ļn los servicios de inteligencia y seguridad de los Pa√≠ses Bajos.

En un informe detallado ayer, el Servicio de Seguridad e Inteligencia Militar (MIVD) y el Servicio de Seguridad e Inteligencia General (AIVD) del país detallaron el primer ataque, comenzando con la explotación de CVE-2022-42475.

Fortinet publicó un aviso crítico sobre la vulnerabilidad de día cero en diciembre de 2022, advirtiendo que un "actor avanzado" la está explotando para atacar "objetivos relacionados con el estado y el gobierno".

Después del exploit, los actores de amenazas chinos utilizaron un nuevo troyano de acceso remoto (RAT) "sigilo y persistente" llamado Coathanger.

"Se oculta mediante llamadas al sistema que pueden revelar su presencia. Tolera reinicios y actualizaciones de firmware", explica el informe de inteligencia holandés.

‚ÄúMIVD y AIVD eval√ļan que el uso de Coathanger puede ser relativamente espec√≠fico. Los actores de amenazas chinos est√°n buscando y potencialmente accediendo a dispositivos perif√©ricos vulnerables a escala y pueden introducir Coathanger como un canal de comunicaci√≥n para v√≠ctimas seleccionadas".

El informe se√Īala que las RAT se pueden usar en combinaci√≥n con cualquier vulnerabilidad utilizada en los dispositivos FortiGate. Pero esta vez, parece que el plan holand√©s de ciberespionaje se vio frustrado.

"Después del ataque, el actor exploró la red de I+D y extrajo una lista de cuentas de usuario del servidor Active Directory. Debido a que la red de la víctima estaba fragmentada de la red más amplia del Ministerio de Defensa, el impacto del ataque fue limitado", dice el informe.

El informe es la primera vez que los Pa√≠ses Bajos afirman p√ļblicamente que Beijing realiza pirater√≠a inform√°tica patrocinada por el Estado. Sin embargo, el gigante tecnol√≥gico del pa√≠s, ASML, desempe√Īa un papel importante en la cadena de suministro global de chips avanzados, lo que ha impulsado la reputaci√≥n de la peque√Īa naci√≥n del norte de Europa entre algunos gobiernos.

Los actores de amenazas est√°n en su apogeo

MIVD y AIVD dijeron que el ataque refleja una tendencia m√°s amplia de amenazas dirigidas a dispositivos perif√©ricos como VPN, servidores de correo electr√≥nico y firewalls que se conectan a la Internet p√ļblica pero que no est√°n protegidos por controles de detecci√≥n y respuesta de puntos finales (EDR).

Un reciente ataque de día cero a dispositivos Ivanti por parte de actores chinos de la amenaza Nexus lo demuestra.

El servicio de inteligencia holandés aconseja a las organizaciones minimizar la amenaza de los dispositivos:

  • Se realizan an√°lisis de riesgos peri√≥dicos en los dispositivos a medida que se agregan nuevas funciones.
  • Limitar el acceso a Internet deshabilitando puertos y funciones no utilizados y haciendo que la interfaz de administraci√≥n sea inaccesible desde Internet.
  • Analice peri√≥dicamente los registros para detectar actividades inusuales, como intentos de inicio de sesi√≥n en momentos inusuales, direcciones IP desconocidas o cambios de configuraci√≥n no autorizados.
  • Instale las √ļltimas actualizaciones de seguridad de los proveedores a medida que est√©n disponibles y active las funciones relacionadas con la seguridad publicadas por los proveedores.
  • Reemplazar hardware y software no compatibles

Artículos Relacionados

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir

Usamos cookies para mejorar tu experiencia en nuestra web. Política de Cookies