.
As autoridades holandesas estão a levantar a cortina sobre uma tentativa de ataque cibernético no ano passado ao seu Ministério da Defesa (MoD), culpando os atacantes patrocinados pelo Estado chinês pela intrusão focada na espionagem.
Especialistas do Serviço Militar de Inteligência e Segurança da Holanda (MIVD) e do Serviço Geral de Inteligência e Segurança (AIVD) foram chamados para investigar uma intrusão em uma rede MOD no ano passado, descobrindo um malware nunca antes visto que eles chamam de Coathanger.
O nome, disseram as autoridades, foi inventado com base na “frase peculiar” exibida pelo malware ao criptografar a configuração no disco: “Ela pegou o casaco dele e pendurou”.
Um mergulho profundo no código do Coathanger revelou que o trojan de acesso remoto (RAT) foi desenvolvido especificamente para os firewalls de próxima geração (NGFWs) FortiGate da Fortinet e o acesso inicial à rede do MoD foi obtido através da exploração de CVE-2022-42475.
De acordo com o MIVD e o AIVD, o RAT opera fora das medidas tradicionais de detecção e atua como um malware de segundo estágio, principalmente para estabelecer acesso persistente para invasores, sobrevivendo a reinicializações e atualizações de firmware.
Mesmo dispositivos FortiGate totalmente corrigidos ainda podem ter o Coathanger instalado se forem comprometidos antes da atualização.
No comunicado de segurança cibernética publicado hoje, as autoridades disseram que o malware era altamente furtivo e difícil de detectar usando comandos CLI padrão do FortiGate, uma vez que o Coathanger intercepta a maioria das chamadas de sistema que poderiam identificá-lo como malicioso.
Eles também deixaram claro que o Coathanger é definitivamente diferente do BOLDMOVE, outro RAT direcionado aos dispositivos FortiGate.
“Pela primeira vez, o MIVD optou por tornar público um relatório técnico sobre os métodos de trabalho dos hackers chineses. É importante atribuir tais atividades de espionagem à China”, disse o ministro da Defesa, Kajsa Ollongren, numa declaração traduzida automaticamente. “Desta forma, aumentamos a resiliência internacional contra este tipo de espionagem cibernética”.
O comunicado também observou que as autoridades holandesas já haviam avistado Coathanger presente nas redes de outras vítimas, antes do incidente no MOD.
Quanto à atribuição, o MIVD e o AIVD disseram que podem atribuir Coathanger a atacantes patrocinados pelo Estado chinês com “alta confiança”.
“O MIVD e o AIVD enfatizam que este incidente não é independente, mas faz parte de uma tendência mais ampla de espionagem política chinesa contra a Holanda e os seus aliados”, diz o comunicado.
Os invasores responsáveis pelo ataque eram conhecidos por realizar varreduras “amplas e oportunistas” em dispositivos FortiGate expostos e vulneráveis ao CVE-2022-42475 e, em seguida, explorá-los usando uma conexão ofuscada.
Depois de ganhar uma posição inicial dentro da rede, que foi usada pela divisão de pesquisa e desenvolvimento do MOD, os invasores realizaram reconhecimento e roubaram uma lista de contas de usuários do servidor Active Directory.
Não foi dito muito mais sobre a atividade do invasor, além do fato de que o impacto geral da intrusão foi limitado graças à segmentação da rede do MOD.
Para aqueles preocupados se os ciberespiões chineses estão à espreita em seu firewall, a Joint Signal Cyber Unit of the Netherlands (JCSU-NL) publicou uma lista completa de indicadores de comprometimento (IOCs) e vários métodos de detecção em sua página do GitHub.
A coleção de materiais inclui regras YARA, hash JA3, comandos CLI, somas de verificação de arquivos e muito mais. As autoridades disseram que cada método de detecção deve ser visto como independente e usado em conjunto, uma vez que alguns se concentram em IOCs gerais e outros foram desenvolvidos para detectar especificamente a actividade dos cabides.
Se houver evidência de comprometimento, é possível que outros hosts acessíveis pelo dispositivo FortiGate também estejam comprometidos. Há também uma probabilidade maior de que os invasores realizem ataques manuais no teclado.
Os usuários afetados devem isolar seus dispositivos imediatamente, coletar e revisar registros e considerar ligar para especialistas forenses digitais terceirizados, diz o comunicado. As vítimas também devem informar a autoridade de segurança cibernética do seu país: NCSC, CISA, etc.
A única maneira de remover o Coathanger de um dispositivo infectado é reformatar completamente o dispositivo, antes de reinstalá-lo e reconfigurá-lo.
Há muito se suspeita que há rumores do envolvimento da China nas explorações CVE-2022-42475, mas pela primeira vez foram confirmados hoje.
Divulgada pela primeira vez em dezembro de 2022, um mês depois, a Fortinet disse estar ciente de que a vulnerabilidade estava ligada à violação de um governo ou organização relacionada ao governo que havia sido infectada com malware personalizado.
Na época, nenhum dedo foi oficialmente apontado, exceto o fato de que esse malware personalizado foi compilado em uma máquina no fuso horário UTC+8, então, realisticamente, provavelmente seria a China ou a Rússia.
A China também foi acusada de estar por trás da exploração de um bug separado da Fortinet em março, novamente usando malware personalizado para fins de espionagem cibernética. ®
.
