Sicurezza nazionale violata: hacker cinesi infiltrano il MOD olandese

Recenti indagini condotte dai servizi di intelligence militare e di sicurezza olandesi (MIVD e AIVD) hanno portato alla luce che un gruppo di hacker sponsorizzato dallo stato cinese ha violato il sistema del Ministero della Difesa Olandese (MOD) l'anno scorso. Gli hacker hanno introdotto un nuovo trojan di accesso remoto (RAT), soprannominato "Coathanger", all'interno dei dispositivi di Fortinet, utilizzati dal MOD. I rapporti indicano che l'impatto dell'attacco è stato contenuto grazie alla segmentazione della rete colpita dalle altre reti del MOD.

Il malware "Coathanger" identificato dagli 007 olandesi

Il RAT in questione, denominato Coathanger, è stato ideato per insidiare specificamente gli appliance FortiGate di Fortinet. Questo malware si distingue per la sua natura persistente, essendo in grado di resistere sia ai riavvii di sistema che agli aggiornamenti firmware, iniettandosi nei processi di sistema. Inoltre, la sua capacità di eludere la rilevazione mediante i comandi CLI standard di FortiGate lo rende particolarmente insidioso. Gli hacker hanno sfruttato una vulnerabilità critica di esecuzione remota di codice senza autenticazione (CVE-2022-42475) nei dispositivi FortiGate per guadagnare accesso e, dopo aver installato Coathanger, hanno compiuto attività di ricognizione e sottratto dati dai server Active Directory.

Attribuzione dell'attacco e implicazioni geopolitiche

L'attacco al MOD e lo sviluppo di Coathanger sono stati attribuiti "con alta fiducia" a un attore minaccioso sponsorizzato dal governo della Repubblica Popolare Cinese. Questo episodio è considerato dalle autorità olandesi non un evento isolato ma piuttosto una componente di una più estesa campagna di spionaggio politico cinese diretto nei confronti dei Paesi Bassi e dei loro alleati. La tendenza all'utilizzo delle vulnerabilità negli edge device esposti su internet da parte degli hacker sponsorizzati dallo stato è una pratica in crescita.

Consigli per la difesa dei sistemi informatici

MIVD e AIVD hanno fornito raccomandazioni su metodi di mitigazione e protezione per le organizzazioni che utilizzano i dispositivi FortiGate, consigliando di implementare tempestivamente gli aggiornamenti di sicurezza, disabilitare le funzionalità non necessarie, limitare l'accesso ai dispositivi disattivando servizi, porte non necessari e l'interfaccia di gestione da internet, oltre a monitorare i log degli eventi in cerca di attività anomale.