Η Στρατιωτική Υπηρεσία Πληροφοριών και Ασφάλειας (MIVD) της Ολλανδίας ισχυρίζεται ότι Κινέζοι hackers που ασχολούνται με την κυβερνοκατασκοπεία, παραβίασαν πέρυσι το ολλανδικό Υπουργείο Άμυνας και εγκατέστησαν κακόβουλο λογισμικό στα συστήματά του.
Το θετικό της υπόθεσης είναι ότι η ζημιά ήταν περιορισμένη χάρη στην τμηματοποίηση του δικτύου. Έτσι, η μόλυνση δεν μπόρεσε να εξαπλωθεί παντού.
“Το δίκτυο-θύμα είχε λιγότερους από 50 χρήστες. Σκοπός του ήταν η έρευνα και ανάπτυξη (R&D) unclassified projects και η συνεργασία με δύο ερευνητικά ινστιτούτα. Αυτοί οι οργανισμοί έχουν ενημερωθεί για το περιστατικό“, αναφέρει η ολλανδική υπηρεσία.
Δείτε επίσης: Κινέζοι hackers εκμεταλλεύονται zero-day ευπάθειες στα VPN
Μόλυνση με RAT malware
Κατά τη διάρκεια της έρευνας, ανακαλύφθηκε στο παραβιασμένο δίκτυο ένα άγνωστο malware με το όνομα Coathanger. Πρόκειται για ένα trojan απομακρυσμένης πρόσβασης (RAT) που μολύνει τις συσκευές ασφαλείας δικτύου Fortigate.
“Ειδικά, το COATHANGER implant προσφέρει persistence και εμφανίζεται μετά από κάθε επανεκκίνηση εισάγοντας ένα αντίγραφο ασφαλείας του εαυτού του στη διαδικασία που είναι υπεύθυνη για την επανεκκίνηση του συστήματος. Επιπλέον, η μόλυνση επιβιώνει από αναβαθμίσεις firmware“, προειδοποίησε η ολλανδική υπηρεσία.
“Επομένως, ακόμα και οι πλήρως επιδιορθωμένες συσκευές FortiGate μπορεί να μολυνθούν, εάν είχαν παραβιαστεί πριν από την εφαρμογή της τελευταίας ενημέρωσης κώδικα“.
Το κακόβουλο λογισμικό κρύβεται αποτελεσματικά και δρα υπογείως, παρεμποδίζοντας τα system calls, για να μην αποκαλυφθεί. Και όπως είπαμε, καταφέρνει να παραμένει στο δίκτυο μέσω των επανεκκινήσεων και των αναβαθμίσεων firmware.
Δείτε επίσης: Cisco Identity Intelligence: Νέα λύση ασφαλείας έναντι των hackers
Η Στρατιωτική Υπηρεσία Πληροφοριών της Ολλανδίας δεν έχει αποδώσει τις επιθέσεις σε συγκεκριμένη ομάδα κυβερνοεγκληματιών, αλλά πιστεύει ότι πρόκειται για Κινέζους hackers που υποστηρίζονται από το κράτος και που στοχεύουν στην πολιτική κατασκοπεία της Ολλανδίας και των συμμάχων της.
FortiGate firewalls στο στόχαστρο των hackers
Οι Κινέζοι hackers ανέπτυξαν το κακόβουλο λογισμικό Coathanger για να μολύνουν ευάλωτα τείχη προστασίας FortiGate, χρησιμοποιώντας την ευπάθεια CVE-2022-42475. Αυτή η ευπάθεια είχε χρησιμοποιηθεί προηγουμένως και ως zero-day για τη στόχευση κυβερνητικών οργανισμών.
Αυτές οι επιθέσεις μοιράζονται επίσης πολλές ομοιότητες με μια άλλη κινεζική hacking καμπάνια που στόχευε μη επιδιορθωμένες συσκευές SonicWall Secure Mobile Access (SMA).
Οι οργανισμοί καλούνται να εφαρμόζουν αμέσως τις ενημερώσεις ασφαλείας που κυκλοφορούν οι προμηθευτές, ώστε να παραμένουν ασφαλείς.
“Για πρώτη φορά, η MIVD επέλεξε να δημοσιοποιήσει μια τεχνική έκθεση σχετικά με τις μεθόδους εργασίας των Κινέζων hackers. Είναι σημαντικό να αποδοθούν τέτοιες κατασκοπευτικές δραστηριότητες από την Κίνα”, δήλωσε η υπουργός Άμυνας της Ολλανδίας, Kajsa Ollongren.
Δείτε επίσης: Οι hackers ResumeLooters έκλεψαν εκατομμύρια δεδομένα μέσω SQL injection, XSS επιθέσεων
Μετά την παραβίαση από τους Κινέζους hackers, το Υπουργείο Άμυνας της Ολλανδίας, πρέπει να λάβει αυστηρά μέτρα για την ενίσχυση της κυβερνοασφάλειας (αν δεν το έχει κάνει ήδη). Αρχικά, είναι σημαντική η ενίσχυση δυνατοτήτων ανίχνευσης και απόκρισης σε περιστατικά παραβίασης, επενδύοντας σε προηγμένα συστήματα ασφάλειας και εργαλεία παρακολούθησης.
Επιπλέον, η εκπαίδευση του προσωπικού του σε θέματα κυβερνοασφάλειας, με στόχο την αύξηση της ευαισθητοποίησης και την κατανόηση των απειλών και των τρόπων αντιμετώπισής τους, είναι απαραίτητη.
Το Υπουργείο Άμυνας μπορεί να ενισχύσει και την συνεργασία του με άλλους εθνικούς και διεθνείς φορείς για την ανταλλαγή πληροφοριών και την κοινή αντιμετώπιση των κυβερνοαπειλών.
Τέλος, είναι σημαντική η εφαρμογή πολιτικών για την τακτική ενημέρωση και αναθεώρηση των πρωτοκόλλων ασφάλειας, προκειμένου να διασφαλιστεί ότι τα μέτρα που λαμβάνονται παραμένουν επίκαιρα και αποτελεσματικά στον εξελισσόμενο κόσμο της κυβερνοασφάλειας.
Πηγή: www.bleepingcomputer.com
 παραβίασαν το Υπουργείο Άμυνας){kind=link}