Hackers vinculados a China infiltran a docenas de gobiernos: Inteligencia holandesa

Una cibercampaña vinculada a China que se infiltró en una red de defensa holandesa el año pasado es mucho mayor de lo que se pensaba y se ha infiltrado en decenas de miles de sistemas gubernamentales y de defensa de países occidentales, según el gobierno holandés.

La campaña, denominada COATHANGER, se ha vinculado a la China comunista y ha aprovechado una vulnerabilidad de día cero en el sistema de cortafuegos FortiGate utilizado por los Países Bajos y otros países en muchas redes gubernamentales. Las vulnerabilidades de día cero existen cuando se despliega por primera vez una actualización de software.

El informe original de la inteligencia holandesa, publicado en febrero, decía que los daños de la brecha eran limitados debido a la «segmentación de la red», que separa un sistema afectado de la red de defensa más amplia de la nación.

Sin embargo, el Centro Nacional de Ciberseguridad de los Países Bajos (NCSC) anunció el 10 de junio que la cibercampaña china es mucho mayor de lo que se pensaba.

El NCSC afirmó que COATHANGER comprometió 20.000 sistemas en docenas de gobiernos occidentales, organizaciones internacionales y un gran número de empresas de la industria de defensa.

Además, según el comunicado, los atacantes utilizaron la intrusión para instalar malware en algunos de esos objetivos comprometidos para garantizar el acceso continuado a esos sistemas. El malware aún no ha sido cortado.

«Esto dio al actor estatal acceso permanente a los sistemas», dice el comunicado. «Incluso si una víctima instala las actualizaciones de seguridad de FortiGate, el actor estatal sigue teniendo este acceso».

«No se sabe cuántas víctimas tienen realmente instalado el malware. Los servicios de inteligencia holandeses y el NCSC consideran probable que el actor estatal pueda ampliar potencialmente su acceso a cientos de víctimas en todo el mundo y haya podido llevar a cabo acciones adicionales como el robo de datos».

Del mismo modo, el comunicado holandés afirmaba que «es probable que el actor estatal siga teniendo acceso a los sistemas de un número significativo de víctimas en este momento» y que las organizaciones deberían tomar medidas para mitigar las posibles consecuencias de ese acceso.

El informe original de Holanda, publicado conjuntamente por el Servicio de Inteligencia y Seguridad Militar holandés y el Servicio de Inteligencia y Seguridad General, no aclaraba qué información trataban de obtener los hackers.

El alcance del último descubrimiento sugiere que la campaña pretendía obtener un acceso persistente a las industrias de defensa de las naciones occidentales. Sin embargo, sigue sin estar claro si todas las víctimas pertenecían a naciones de la OTAN o compartían alguna otra conexión.

El comunicado holandés dice que, al igual que muchos hackers, la campaña COATHANGER tenía como objetivo «dispositivos de borde» como cortafuegos, servidores VPN, routers y servidores de correo electrónico que conectan un sistema a la red más amplia.

Dado que las vulnerabilidades de día cero son difíciles de prever, según el comunicado, el gobierno anima a adoptar el principio de «asumir la brecha».

Esto significa que debe asumirse una brecha inicial y deben tomarse medidas para limitar los daños.

Numerosos informes han revelado que agentes respaldados por China y asociados tanto a la como a las fuerzas de seguridad chinas están detrás de las mayores operaciones de influencia en línea del mundo.

Los responsables de la inteligencia estadounidense anunciaron a principios de año que habían desmantelado el malware chino conocido como Volt Typhoon, que se había plantado en cientos de dispositivos y amenazaba infraestructuras vitales de Estados Unidos, como los sistemas de agua, energía, petróleo y control del tráfico aéreo.

Únase a nuestro canal de Telegram para recibir las últimas noticias al instante haciendo clic aquí