O Ministério da Defesa da Holanda descobriu em 2023 que estava a ser espiado pela China através de malware. Os danos parecem ter sido limitados, mas a entidade afirma que os atores estatais chineses visam frequentemente os Países Baixos e os seus aliados.
O malware foi batizado de COATHANGER pelos dois serviços de segurança neerlandeses. Uma infiltração da China foi descoberta em 2023 numa rede com menos de 50 utilizadores. O objetivo desta rede era permitir projetos de I&D em colaboração com dois institutos de investigação. Segundo a Defesa, os danos foram limitados porque a rede estava segmentada.
O acesso inicial foi obtido através da exploração de uma vulnerabilidade já um pouco antiga: CVE-2022-42475. Trata-se de um bug de buffer overflow no FortiOS, o sistema operativo das firewalls FortiGate. O fabricante Fortinet detetou esta vulnerabilidade no final de 2022, após o que partilhou os passos de mitigação no início de 2023. Os atacantes não foram detetados, em parte devido à ofuscação da sua própria ligação.
“O ator estatal chinês procura amplamente dispositivos de ponta vulneráveis e obtém acesso de forma oportunista, mas é provável que introduza o COATHANGER como um canal de comunicação para vítimas selecionadas”.
Depois, através de outro host, descarregaram o malware COATHANGER, que é especificamente classificado como um Trojan de Acesso Remoto (RAT). A Defesa descreve este software nocivo como “furtivo e persistente”, em parte porque sobrevive a reinícios e atualizações de firmware. Qualquer vulnerabilidade dos dispositivos FortiGate poderia, em princípio, permitir a instalação do COATHANGER.
O atacante efetuou então um reconhecimento na rede de I&D e exfiltrou uma lista de contas do servidor Active Directory. Para transmitir estas informações, o COATHANGER estabeleceu contactos periódicos com um servidor C2 (Comando e Controlo).
Assim, esta atividade não é facilmente erradicada, o que dificulta determinar se os dispositivos FortiGate foram realmente afetados. No entanto, o aviso de segurança indica que este malware não será de forma alguma instalado em todo o lado pelos atacantes. Afinal, isso aumenta as hipóteses de ser descoberto e optaram por ser o alvo.
Os dispositivos periféricos devem incluir firewalls, servidores VPN e servidores de correio eletrónico, como refere o NCSC. Dectetar o COATHANGER, aliás, não é fácil. As chamadas de sistema que denunciariam a sua existência são substituídas.
Embora não sejam partilhados muitos pormenores sobre a natureza dos atacantes, a AIVD e o MIVD sublinham que o incidente não é isolado. Por outras palavras, a infiltração bem sucedida (embora limitada) numa rede governamental deve ser vista como parte de uma iniciativa mais vasta para penetrar nas agências governamentais holandesas e noutros locais.
A ministra da Defesa cessante, Kajsa Ollongren, concorda. “Penso que temos de partir do princípio de que isto está a acontecer de forma mais generalizada, nos Países Baixos mas também noutros países. Por isso, é um risco real contra o qual temos de nos precaver”.
“Estamos a divulgá-lo para avisar os outros”, afirmou o ministro. O governo recomendou uma lista de medidas de segurança, que podem ser lidas tanto no aviso de segurança como no sítio Web do NCSC. Em primeiro lugar, é citada uma análise de risco dos dispositivos de ponta durante grandes alterações, restringindo o acesso à Internet para estes dispositivos e mantendo a interface de gestão offline. Recomendam também análises regulares que detetem atividades suspeitas.
Assim, o ponto seguinte, a instalação dos últimos patches, não foi suficiente neste caso para impedir a infiltração em curso. No entanto, previne as organizações de novas infiltrações. De qualquer forma, o hardware e o software não suportado devem ser substituídos o mais rapidamente possível.
De qualquer forma, a aplicação constante de patches nas firewalls é particularmente importante. Da mesma forma, a Fortinet é frequentemente afetada por novas ameaças. Por exemplo, descobriu-se recentemente que o FortiSIEM contém duas novas vulnerabilidades críticas, embora as explorações ainda não sejam conhecidas. A empresa aplica continuamente patches e é normalmente rápida a responder.