Espías chinos han pirateado redes holandesas con el nuevo malware Coathanger
Los espías respaldados por el Estado chino utilizaron un nuevo malware llamado Coathanger para irrumpir en las redes de defensa holandesas el año pasado y robar información confidencial, según los servicios de inteligencia y seguridad de los Países Bajos.
En un informe detallado ayer, el Servicio de Seguridad e Inteligencia Militar (MIVD) y el Servicio de Seguridad e Inteligencia General (AIVD) del país detallaron el primer ataque, comenzando con la explotación de CVE-2022-42475.
Fortinet publicó un aviso crítico sobre la vulnerabilidad de día cero en diciembre de 2022, advirtiendo que un "actor avanzado" la está explotando para atacar "objetivos relacionados con el estado y el gobierno".
Después del exploit, los actores de amenazas chinos utilizaron un nuevo troyano de acceso remoto (RAT) "sigilo y persistente" llamado Coathanger.
"Se oculta mediante llamadas al sistema que pueden revelar su presencia. Tolera reinicios y actualizaciones de firmware", explica el informe de inteligencia holandés.
“MIVD y AIVD evalúan que el uso de Coathanger puede ser relativamente específico. Los actores de amenazas chinos están buscando y potencialmente accediendo a dispositivos periféricos vulnerables a escala y pueden introducir Coathanger como un canal de comunicación para víctimas seleccionadas".
El informe señala que las RAT se pueden usar en combinación con cualquier vulnerabilidad utilizada en los dispositivos FortiGate. Pero esta vez, parece que el plan holandés de ciberespionaje se vio frustrado.
"Después del ataque, el actor exploró la red de I+D y extrajo una lista de cuentas de usuario del servidor Active Directory. Debido a que la red de la víctima estaba fragmentada de la red más amplia del Ministerio de Defensa, el impacto del ataque fue limitado", dice el informe.
El informe es la primera vez que los Países Bajos afirman públicamente que Beijing realiza piratería informática patrocinada por el Estado. Sin embargo, el gigante tecnológico del país, ASML, desempeña un papel importante en la cadena de suministro global de chips avanzados, lo que ha impulsado la reputación de la pequeña nación del norte de Europa entre algunos gobiernos.
Los actores de amenazas están en su apogeo
MIVD y AIVD dijeron que el ataque refleja una tendencia más amplia de amenazas dirigidas a dispositivos periféricos como VPN, servidores de correo electrónico y firewalls que se conectan a la Internet pública pero que no están protegidos por controles de detección y respuesta de puntos finales (EDR).
Un reciente ataque de día cero a dispositivos Ivanti por parte de actores chinos de la amenaza Nexus lo demuestra.
El servicio de inteligencia holandés aconseja a las organizaciones minimizar la amenaza de los dispositivos:
- Se realizan análisis de riesgos periódicos en los dispositivos a medida que se agregan nuevas funciones.
- Limitar el acceso a Internet deshabilitando puertos y funciones no utilizados y haciendo que la interfaz de administración sea inaccesible desde Internet.
- Analice periódicamente los registros para detectar actividades inusuales, como intentos de inicio de sesión en momentos inusuales, direcciones IP desconocidas o cambios de configuración no autorizados.
- Instale las últimas actualizaciones de seguridad de los proveedores a medida que estén disponibles y active las funciones relacionadas con la seguridad publicadas por los proveedores.
- Reemplazar hardware y software no compatibles
Deja una respuesta
Artículos Relacionados