AI DevwWrld CyberDSA Chatbot Summit Cyber Revolution Summit CYSEC Global Cyber Security & Cloud Expo World Series Digital Identity & Authentication Summit Asian Integrated Resort Expo Middle East Low Code No Code Summit TimeAI Summit

Sicurezza nazionale violata: hacker cinesi infiltrano il MOD olandese

L'incursione cibernetica mina l'integrità dei sistemi olandesi e solleva questioni di sicurezza globale

Hacker cinesi hanno utilizzato un malware chiamato "Coathanger" per infiltrarsi nei sistemi del Ministero della Difesa Olandese attraverso dispositivi Fortinet, ma l'attacco è stato limitato.

This pill is also available in English language

Recenti indagini condotte dai servizi di intelligence militare e di sicurezza olandesi (MIVD e AIVD) hanno portato alla luce che un gruppo di hacker sponsorizzato dallo stato cinese ha violato il sistema del Ministero della Difesa Olandese (MOD) l'anno scorso. Gli hacker hanno introdotto un nuovo trojan di accesso remoto (RAT), soprannominato "Coathanger", all'interno dei dispositivi di Fortinet, utilizzati dal MOD. I rapporti indicano che l'impatto dell'attacco è stato contenuto grazie alla segmentazione della rete colpita dalle altre reti del MOD.

Il malware "Coathanger" identificato dagli 007 olandesi

Il RAT in questione, denominato Coathanger, è stato ideato per insidiare specificamente gli appliance FortiGate di Fortinet. Questo malware si distingue per la sua natura persistente, essendo in grado di resistere sia ai riavvii di sistema che agli aggiornamenti firmware, iniettandosi nei processi di sistema. Inoltre, la sua capacità di eludere la rilevazione mediante i comandi CLI standard di FortiGate lo rende particolarmente insidioso. Gli hacker hanno sfruttato una vulnerabilità critica di esecuzione remota di codice senza autenticazione (CVE-2022-42475) nei dispositivi FortiGate per guadagnare accesso e, dopo aver installato Coathanger, hanno compiuto attività di ricognizione e sottratto dati dai server Active Directory.

Attribuzione dell'attacco e implicazioni geopolitiche

L'attacco al MOD e lo sviluppo di Coathanger sono stati attribuiti "con alta fiducia" a un attore minaccioso sponsorizzato dal governo della Repubblica Popolare Cinese. Questo episodio è considerato dalle autorità olandesi non un evento isolato ma piuttosto una componente di una più estesa campagna di spionaggio politico cinese diretto nei confronti dei Paesi Bassi e dei loro alleati. La tendenza all'utilizzo delle vulnerabilità negli edge device esposti su internet da parte degli hacker sponsorizzati dallo stato è una pratica in crescita.

Consigli per la difesa dei sistemi informatici

MIVD e AIVD hanno fornito raccomandazioni su metodi di mitigazione e protezione per le organizzazioni che utilizzano i dispositivi FortiGate, consigliando di implementare tempestivamente gli aggiornamenti di sicurezza, disabilitare le funzionalità non necessarie, limitare l'accesso ai dispositivi disattivando servizi, porte non necessari e l'interfaccia di gestione da internet, oltre a monitorare i log degli eventi in cerca di attività anomale.

Seguici su Telegram per altre pillole come questa

07/02/2024 15:07

Marco Verro

Ultime pillole

Minaccia zero-day su dispositivi Android: Samsung prepara un aggiornamento crucialeScopri come Samsung sta affrontando le vulnerabilità critiche di Android e proteggendo i dispositivi Galaxy dalle minacce informatiche

CrowdStrike: come un aggiornamento di sicurezza ha paralizzato il mondo technologicoImpatto globale di un aggiornamento di sicurezza su banche, trasporti e servizi cloud: cosa è successo e come si sta affrontando la crisi

Scacco matto alle reti criminali: l’operazione Interpol che svela l’invisibileScopri come l'operazione Interpol ha smascherato truffatori digitali e trafficanti attraverso una straordinaria collaborazione globale, sequestrando beni di lusso e falsi documenti

Le previsioni di sicurezza di Google Cloud per il 2024: come l'AI ridisegnerà il panorama della c...Scopri come l'intelligenza artificiale trasformerà la sicurezza informatica e affronterà le minacce geopolitiche nel 2024 secondo il report di Google Cloud