Campaña china de ciberespionaje compromete 20.000 sistemas | DKCERT
Una operación de ciberespionaje en curso vinculada a China ha infiltrado con éxito «un número significativo de víctimas», entre las que se incluyen gobiernos occidentales, organizaciones internacionales y la industria de defensa. Así lo afirmaron este lunes las autoridades holandesas de inteligencia y seguridad, según un artículo del medio Cyberscoop.
El mensaje del Ministerio de Justicia holandés aparece tras un informe publicado en febrero sobre una operación dirigida a los dispositivos de borde FortiGate. El informe de febrero destacó el descubrimiento de un nuevo troyano de acceso remoto llamado «Coathhanger» diseñado para mantener el acceso a los dispositivos FortiGate. El informe se preparó sobre la base de una brecha en el Ministerio de Defensa holandés y, como seguimiento del informe del lunes, concluye que «la campaña china de ciberespionaje parece ser mucho más extensa de lo que se sabía anteriormente».
20.000 sistemas
Parece que la campaña aseguró el acceso a al menos 20.000 sistemas FortiGate en todo el mundo en unos pocos meses en 2022 y 2023 explotando una vulnerabilidad en el software FortiGate FortiOS. Los atacantes conocían la vulnerabilidad durante al menos dos meses antes de que Fortinet la anunciara y la parcheara. Durante ese período se infectaron unas 14.000 unidades y posteriormente otras 6.000.
Los objetivos de las actividades incluyen «docenas» de gobiernos occidentales, organizaciones internacionales y un gran número de empresas de la industria de defensa, afirmó. Esto resultó en la instalación de malware en sistemas asociados con un subconjunto desconocido de objetivos «relevantes». Y aunque estas víctimas actualizaron su FortiGate, los atacantes aún pudieron mantener el acceso a los sistemas.
El borde es el problema
Las autoridades holandesas destacan el continuo uso indebido de dispositivos periféricos, incluidos firewalls y enrutadores, como clave para las operaciones «sofisticadas respaldadas por el estado». Estas operaciones se han dirigido a enrutadores domésticos y de pequeñas oficinas vulnerables para obtener acceso a infraestructura crítica y otras redes sensibles, algo sobre lo que también han advertido funcionarios estadounidenses.
Aunque se desconoce el número de dispositivos con el malware instalado, el servicio de inteligencia holandés considera probable que el actor estatal pueda ampliar su acceso a cientos de víctimas en todo el mundo y, según el informe, hacer más, como robar datos. También afirma que el malware es difícil de identificar y eliminar, por lo que el NCSC y los servicios de inteligencia holandeses afirman que es probable que el actor estatal todavía tenga acceso a los sistemas de un número significativo de víctimas».
Enlaces:
https://arstechnica.com/security/2024/06/china-state-hackers-infected-20…