.
Espiões chineses suspeitos exploraram um bug crítico da Fortinet e usaram malware de rede personalizado para roubar credenciais e manter o acesso à rede, de acordo com pesquisadores de segurança da Mandiant.
Fortinet fixo a vulnerabilidade do caminho transversal no FortiOS, rastreada como CVE-2022-41328, no início deste mês. Portanto, faça o patch, se ainda não o fez.
Alguns dias depois, o fornecedor divulgou um relatório mais detalhado análise. Ele indicou que os criminosos estavam usando a falha na tentativa de atacar grandes organizações, roubar seus dados e causar corrupção de sistema operacional ou arquivo: “A complexidade da exploração sugere um ator avançado e é altamente direcionado a alvos governamentais ou relacionados ao governo .”
E de uma forma muito mais detalhada relatório publicado hoje, a Mandiant atribuiu a culpa aos hackers chineses – com o (então) dia zero do FortiOS e “múltiplas” famílias de malware sob medida.
Além disso, esse mesmo grupo de criminosos – Mandiant rastreia o grupo como UNC3886 – estava por trás de ataques de espionagem cibernética que hipervisores VMware ESXi direcionados no ano passado, de acordo com a empresa de inteligência de ameaças do Google.
Embora os pesquisadores de segurança suspeitem que o grupo esteja roubando credenciais e dados confidenciais para apoiar os objetivos de Pequim, nenhuma atribuição oficial foi feita.
Apenas pule, pule e pule da VMware
Na época do comprometimento do hipervisor VMware ESXi, os caçadores de ameaças da Mandiant detectaram o UNC3886 conectado diretamente dos dispositivos FortiGate e FortiManager a um backdoor personalizado chamado VIRTUALPITA “em várias ocasiões”, de acordo com a pesquisa publicada hoje.
“A Mandiant suspeitava que os dispositivos FortiGate e FortiManager estavam comprometidos devido às conexões com o VIRTUALPITA dos endereços IP de gerenciamento da Fortinet”, observaram os pesquisadores.
Eles também determinaram que os criminosos danificaram as ferramentas de segurança nos sistemas de destino. A análise desses dispositivos levou à descoberta de mais uma nova família de malware que a Mandiant apelidou de CASTLETAP, que é um backdoor de entrada de porta ICMP.
Invadindo dispositivos de segurança conectados à Internet
Existem dois caminhos de ataque diferentes que os criminosos chineses suspeitos usaram para comprometer os dispositivos Fortinet.
O primeiro, que ocorreu quando o agente da ameaça inicialmente obteve acesso ao ecossistema Fortinet enquanto o dispositivo FortiManager foi exposto à Internet, usa o backdoor CASTLETAP mais outro novo malware chamado THINCRUST.
Depois de obter acesso a um dispositivo voltado para a Internet, os criminosos usaram o THINCRUST – um backdoor baseado em Python disfarçado como uma chamada de API legítima – para estabelecer persistência nos dispositivos FortiManager e FortiAnalyzer. Em seguida, eles usaram scripts FortiManager para implantar o backdoor CASTLETAP em vários firewalls FortiGate. Esses scripts aproveitaram CVE-2022-41328.
Os espiões exploraram a vulnerabilidade de path traversal usando o comando “execute wireless-controller hs20-icon upload-icon”. Normalmente, esse comando é usado para carregar arquivos de ícone de um servidor para um firewall FortiGate, onde eles podem ser usados em portais de inscrição on-line HotSpot 2.0 (o HotSpot 2.0 permite que os dispositivos alternem perfeitamente entre dados de celular e Wi-Fi público). Infelizmente, o comando tinha dois problemas sérios, como explicaram os pesquisadores da Mandiant:
Além disso, neste caminho de ataque com o FortiManager exposto, a Mandiant detectou conexões SSH dos dispositivos Fortinet para os servidores ESXI, o que permitiu que os malfeitores implantassem o malware VIRTUALPITA nos sistemas VMware. Dessa forma, eles obtiveram acesso persistente aos hipervisores e puderam executar comandos em máquinas virtuais convidadas.
O segundo patch de ataque foi usado quando os dispositivos FortiManager não foram expostos à Internet. Nesses ataques, os dispositivos usaram listas de controle de acesso à rede (ACLs) para restringir o acesso externo apenas à porta TCP 541.
Para contornar as ACLs, os malfeitores utilizaram um redirecionador de tráfego (TABLEFLIP) e um backdoor shell reverso (REPTILE) no dispositivo FortiManager, e então acessaram o backdoor diretamente da internet para acesso principal ao ambiente.
Sentindo um padrão ainda?
A mais recente pesquisa Fortinet da Mandiant ocorre uma semana depois que os pesquisadores publicaram um conto semelhante de espiões chineses suspeitos visando gateways SonicWall e infectar esses dispositivos de segurança com malware para roubo de credenciais.
Ben Read, chefe da Mandiant Cyber Espionage Analysis no Google Cloud, disse Strong The One que, na verdade, é o quinto blog que a Mandiant publicou nos últimos dois anos sobre a China usando dispositivos de rede e outros sistemas expostos à Internet.
“Acreditamos que o direcionamento desses dispositivos continuará a ser a técnica preferida para grupos de espionagem que tentam acessar alvos difíceis”, disse Read.
“Isso se deve ao fato de serem acessíveis pela Internet, permitindo que os atores controlem o tempo da invasão – e, no caso de dispositivos VPN e roteadores, a grande quantidade de conexões de entrada regulares facilita a integração”.
“As organizações – especialmente aquelas em setores historicamente visados pela espionagem chinesa – devem tomar medidas para fortalecer esses dispositivos e monitorá-los em busca de atividades suspeitas”, alertou. ®
.
