El Servicio de Inteligencia y Seguridad Militar de los Países Bajos (MIVD) ha emitido hoy una alarmante advertencia sobre el impacto de una campaña de ciberespionaje chino que se dio a conocer a principios de este año, señalando que es «mucho mayor de lo que se sabía anteriormente».
Según un informe conjunto del MIVD y el Servicio General de Inteligencia y Seguridad (AIVD), divulgado en febrero, los hackers chinos aprovecharon una vulnerabilidad crítica de ejecución remota de código en FortiOS/FortiProxy (CVE-2022-42475) durante varios meses entre 2022 y 2023. Esta brecha de seguridad permitió a los atacantes desplegar malware en dispositivos de seguridad de red FortiGate vulnerables.
Durante este período de vulnerabilidad, catalogado como ‘zero-day’, los actores maliciosos infectaron aproximadamente 14.000 dispositivos. Entre los objetivos se encontraban docenas de gobiernos occidentales, organizaciones internacionales y numerosas empresas de la industria de la defensa, según declaró el MIVD.
El malware, conocido como Coathanger, también fue detectado en una red del Ministerio de Defensa de los Países Bajos, utilizada para investigación y desarrollo de proyectos no clasificados. No obstante, gracias a la segmentación de la red, los atacantes fueron bloqueados y no lograron moverse a otros sistemas. El MIVD descubrió que esta cepa de malware, hasta entonces desconocida, tenía la capacidad de sobrevivir a reinicios del sistema y actualizaciones de firmware. El grupo de hackers, patrocinado por el estado chino, llevó a cabo una campaña de espionaje político dirigida a los Países Bajos y sus aliados.
«Esto dio al actor estatal acceso permanente a los sistemas. Incluso si una víctima instala actualizaciones de seguridad de FortiGate, el actor estatal continúa manteniendo este acceso», agregó el MIVD.
Desde febrero, el servicio de inteligencia militar neerlandés ha identificado que el grupo de amenaza chino logró acceder a al menos 20.000 sistemas FortiGate en todo el mundo durante 2022 y 2023. Este acceso se logró al menos dos meses antes de que Fortinet divulgara la vulnerabilidad CVE-2022-42475. El MIVD cree que los hackers chinos aún mantienen acceso a muchos de estos sistemas, debido a la dificultad para detectar y eliminar el malware Coathanger, que es capaz de interceptar llamadas del sistema y sobrevivir a las actualizaciones de firmware.
Estas acciones se asemejan a otra campaña de hacking chino que tuvo como objetivo dispositivos SonicWall Secure Mobile Access (SMA) no parcheados con malware de ciberespionaje diseñado para resistir actualizaciones de firmware. Los servicios de inteligencia neerlandeses y el Centro Nacional de Ciberseguridad (NCSC) consideran probable que el actor estatal pueda expandir su acceso a cientos de víctimas en todo el mundo y llevar a cabo acciones adicionales, como el robo de datos.
En respuesta a esta creciente amenaza, los servicios de inteligencia instan a todas las organizaciones que utilicen dispositivos FortiGate y SonicWall a revisar y reforzar sus medidas de ciberseguridad de inmediato, y a mantenerse vigilantes ante posibles intentos de intrusión.
