El Centro Nacional de Seguridad Cibernética de los Países Bajos (NCSC) ha publicado un informe en el que advierte sobre una extensa campaña de ciberespionaje respaldada por China en la que los atacantes han explotado una vulnerabilidad de día cero en el firewall FortiGate, de la compañía Fortinet.
El NCSC sacó a la luz esta campaña el pasado mes de febrero, cuando reveló que un actor estatal chino estaba utilizando un nuevo malware troyano de acceso remoto (RAT) dirigido específicamente a dispositivos FortiGate, aprovechando la falla de seguridad, identificada como CVE-2022-42475. Entonces, el NCSC informó que el malware, bautizado como Coathanger, había infectado una red informática utilizada por las fuerzas armadas holandesas, si bien matizó que era un sistema independiente, por lo que no había comprometido las redes de Defensa del país.
No obstante, el nuevo informe del NCSC pone de manifiesto que esta campaña de ciberespionaje china fue mucho más extensa de lo que se pensaba anteriormente, según han descubierto los servicios de inteligencia holandeses en la investigación que han llevado a cabo a lo largo de estos cuatro meses. Sus hallazgos indican los hackers chinos obtuvieron acceso a al menos 20.000 sistemas FortiGate en todo el mundo en unos pocos meses, tanto en 2022 como en 2023, a través de la vulnerabilidad. Además, la investigación muestra que el atacante conocía la falla de FortiGate al menos dos meses antes de que Fortinet la anunciara.
"Durante este período llamado 'día cero', solo el actor infectó 14.000 dispositivos. Los objetivos incluyen docenas de gobiernos (occidentales), organizaciones internacionales y un gran número de empresas de la industria de defensa", subraya el NCSC, y añade.
"Posteriormente, el actor estatal instaló malware en objetivos relevantes. Esto le dio al actor estatal acceso permanente a los sistemas. Incluso si una víctima instala actualizaciones de seguridad de FortiGate, el actor estatal sigue teniendo este acceso".
La investigación no ha podido determinar el número de víctimas que tienen el malware instalado, pero NCSC advierte que sus infecciones son difíciles de identificar y eliminar, incluso con el informe técnico sobre esta amenaza. En consecuencia, tanto el NCSC como los servicios de inteligencia holandeses advierten que es probable que el actor todavía tenga acceso a los sistemas de un "número significativo de víctimas" y potencialmente pueda ampliar su alcance a "cientos de víctimas en todo el mundo y llevar a cabo acciones adicionales como el robo de datos".
Los dispositivos perimetrales, un "objetivo popular": Medidas para utilizarlos
Esta campaña forma parte de la tendencia, observada desde hace algún tiempo, de explotar las vulnerabilidades en dispositivos periféricos de acceso público, como firewalls, servidores VPN, enrutadores y servidores de correo electrónico. Así lo señala el informe, que llama a la precaución al utilizar dispositivos perimetrales advirtiendo que son un "objetivo popular" para actores malintencionados, debido a los desafíos de seguridad que presentan.
"Es difícil evitar el compromiso inicial de una red de TI si el atacante utiliza un día cero. Por lo tanto, es importante que las organizaciones apliquen el principio de 'asumir incumplimiento'. Este principio establece que ya se ha producido o se producirá pronto un ataque digital exitoso. En base a esto, se toman medidas para limitar los daños y el impacto. Esto incluye tomar medidas de mitigación en las áreas de segmentación, detección, planes de respuesta a incidentes y preparación forense", apunta el informe del Centro Nacional de Seguridad Cibernética de los Países Bajos.