Il servizio di Intelligence e Sicurezza Militare olandese (MIVD) ha segnalato che le conseguenze di una campagna di spionaggio informatico cinese, scoperta all’inizio di quest’anno, erano molto più gravi di quanto inizialmente previsto. Tra il 2022 e il 2023, gli hacker avrebbero compromesso 20.000 sistemi di sicurezza informatica Fortinet FortiGate in tutto il mondo, sfruttando una vulnerabilità critica. Lo riporta il sito Redhotcyber.

Nel febbraio 2024, il MIVD, insieme al Servizio generale di Intelligence e Sicurezza olandese (AIVD), ha rilasciato un rapporto secondo il quale hacker cinesi avrebbero utilizzato una vulnerabilità RCE critica in FortiOS/FortiProxy (CVE-2022-42475) per diversi mesi.

Di conseguenza, gli aggressori hanno installato il trojan di accesso remoto Coathanger sui dispositivi compromessi, e successivamente è stato riportato che l’attacco ha coinvolto anche il Ministero della Difesa olandese.

Secondo il MIVD, circa 14.000 dispositivi sarebbero stati compromessi da un singolo gruppo di hacker cinesi. Gli obiettivi di questi attacchi includevano dozzine di governi occidentali, organizzazioni internazionali e numerose aziende del settore della difesa.

Gli esperti avvertono che Coathanger, il trojan utilizzato, è in grado di «sopravvivere» ai riavvii del sistema e agli aggiornamenti del firmware, garantendo agli aggressori un accesso continuo ai sistemi compromessi. «Anche se la vittima installa le patch FortiGate, gli aggressori mantengono comunque l’accesso», affermano i rappresentanti del MIVD.

In totale, gli hacker hanno avuto accesso a 20.000 sistemi FortiGate in tutto il mondo tra il 2022 e il 2023. Inoltre, gli attacchi sono iniziati diversi mesi prima che venissero divulgate le informazioni relative alla vulnerabilità CVE-2022-42475.

Il MIVD ritiene che gli hacker cinesi continuino ad avere accesso a molte delle organizzazioni colpite, poiché Coathanger è estremamente difficile da rilevare. Il malware intercetta le chiamate di sistema per nascondere la propria presenza.

«Non è noto quante vittime abbiano effettivamente installato malware. I servizi segreti olandesi e l’NCSC ritengono probabile che l’attore statale possa potenzialmente espandere il proprio accesso a centinaia di vittime in tutto il mondo ed eseguire ulteriori azioni come il furto di dati» si legge nel comunicato. «Anche con il rapporto tecnico sul malware COATHANGER, le infezioni dell’attore sono difficili da identificare e rimuovere. L’NCSC e i servizi segreti olandesi affermano quindi che è probabile che l’attore statale abbia ancora accesso ai sistemi di un numero significativo di vittime».

Olanda e Cina si trovano si sono trovate l’una contro l’altra anche per un’altra storia recente che riguarda gli equilibri informatici mondiali.

Come riportato da Renovatio 21, le fabbriche di microchip a Taiwan potrebbero essere chiuse da remoto grazie ad un kill switch, un interruttore segreto che può fermarne l’attività presenti nelle macchine fornite a Formosa da un’azienda olandese, la ASML. Tali macchine, grandi come un autobus e dal costo di circa 217 milioni di dollari cadauna, utilizzano onde luminose ad alta frequenza per stampare i chip più avanzati al mondo.

«L’ASML ha rassicurato i funzionari sulla sua capacità di disabilitare le macchine da remoto quando il governo olandese ha incontrato l’azienda sulla minaccia, hanno detto altri due. I Paesi Bassi hanno effettuato simulazioni su una possibile invasione per valutare meglio i rischi, hanno aggiunto» ha scritto Bloomberg citando funzionari anonimi dell’amministrazione USA.

Il governo neerlandese aveva già imposto restrizioni all’ASML, impedendo la vendita di macchine EUV alla Cina comunista.

SOSTIENI RENOVATIO 21