Les autoritats holandeses han alertat sobre aquesta campanya de ciberespionatge que ha infectat almenys 20.000 dispositius i podria afectar moltes víctimes més.

El Centre Nacional de Seguretat Cibernètica dels Països Baixos (NCSC) ha publicat un informe en el qual adverteix d’una extensa campanya de ciberespionatge duta a terme amb el suport de la Xina en la qual els atacants han explotat una vulnerabilitat de dia zero en el tallafoc FortiGate, de l’empresa Fortinet.

L’NCSC va fer sortir a la llum aquesta campanya el febrer passat, quan va revelar que un actor estatal xinès estava fent servir un nou programari maliciós troià d’accés remot (RAT) adreçat específicament a dispositius FortiGate, que aprofitava la fallada de seguretat, identificada com a CVE-2022-42475. Aleshores, l’NCSC va informar que el programari maliciós, batejat com a Coathanger, havia infectat una xarxa informàtica feta servir per les forces armades holandeses, si bé va matisar que era un sistema independent, per la qual cosa no havia compromès les xarxes de defensa del país.

No obstant això, el nou informe de l’NCSC posa de manifest que aquesta campanya de ciberespionatge xinesa va ser molt més extensa del que es pensava anteriorment, segons han descobert els serveis d’intel·ligència holandesos en la investigació que han dut a terme al llarg d’aquests quatre mesos.  Les seves troballes indiquen que els pirates informàtics xinesos van obtenir accés a almenys 20.000 sistemes FortiGate arreu del món en uns pocs mesos, tant l’any 2022 com el 2023, a través de la vulnerabilitat. A més a més, la investigació mostra que l’atacant coneixia la fallada de FortiGate almenys dos mesos abans que FortiNet ho anunciés.

«Durant aquest període anomenat ‘dia zero’, només l’actor va infectar 14.000 dispositius. Els objectius inclouen dotzenes de governs (occidentals), organitzacions internacionals i un gran nombre d’empreses de la indústria de defensa», subratlla l’NSCS i afegeix

«Posteriorment, l’actor estatal va instal·lar programari maliciós en objectius rellevants. Això li va donar a l’actor accés permanent als sistemes. Fins i tot si una víctima instal·la actualitzacions de seguretat de FortiGate, l’actor estatal continua tenint aquest accés».

La investigació no ha pogut determinar el nombre de víctimes que tenen el programari maliciós instal·lat, però l’NCSC adverteix que les seves infeccions són difícils d’identificar i eliminar, fins i tot amb l’informe tècnic sobre aquesta amenaça. En conseqüència, tant l’NCSC com els serveis d’intel·ligència holandesos adverteixen que és probable que l’actor encara tingui accés als sistemes d’un «nombre significatiu de víctimes» i potencialment pugui ampliar el seu abast a «centenars de víctimes d’arreu del món i dur a terme accions addicionals com ara el robatori de dades».