Hacker cinesi prendono di mira i sistemi FortiGate
All’inizio del 2024 sono emerse segnalazioni di autori di minacce cinesi che prendevano di mira i sistemi FortiGate con il malware COATHANGER. Il Servizio di intelligence e sicurezza militare (MIVD) e il Servizio di intelligence e sicurezza generale (AIVD) hanno rilasciato un avviso di sicurezza, avvertendo che gli attori statali cinesi hanno abusato delle vulnerabilità dei dispositivi edge per ottenere ulteriori capacità e attività.
È stato scoperto che la campagna malware COATHANGER si è infiltrata in almeno 20.000 sistemi FortiGate in tutto il mondo, inclusi governi, organizzazioni internazionali e un gran numero di aziende del settore della difesa. L’autore della minaccia ha sfruttato la vulnerabilità CVE-2022-42475, ottenendo l’accesso a questi dispositivi in pochi mesi nel 2022 e nel 2023.
Impatto su vari settori
L’impatto di questa campagna di spionaggio informatico è significativo e colpisce vari settori, tra cui governi, organizzazioni internazionali e l’industria della difesa. L’entità dei danni non è ancora nota, così come non è chiaro quanti obiettivi siano stati colpiti finora.
Ciò che è allarmante è che anche se una vittima di questa campagna tenta di installare aggiornamenti di sicurezza sui sistemi FortiGate, l’autore della minaccia riesce comunque ad accedervi. Ciò evidenzia la necessità che le organizzazioni adottino misure proattive per proteggere i propri sistemi e dati.
Strategie di mitigazione
Per mitigare questo attore di minacce, l’NCSC (Nationaal Cyber Security Centrum) ha raccomandato alle organizzazioni di applicare il principio “assume violazione”, che presuppone che si sia già verificata una violazione. Questo principio sottolinea la necessità che le organizzazioni adottino un approccio proattivo alla sicurezza informatica, piuttosto che fare affidamento esclusivamente su misure reattive.
Oltre al principio “presupporre una violazione”, le organizzazioni possono adottare diverse misure di mitigazione per limitare i danni e l’impatto di questa campagna di spionaggio informatico. Queste misure includono:
- Segmentazione: l’implementazione della segmentazione della rete può aiutare a limitare la diffusione del malware e ridurre la superficie di attacco. Dividendo la rete in segmenti più piccoli, le organizzazioni possono contenere potenziali minacce e impedire che si diffondano ad altre parti della rete.
- Rilevamento: il rilevamento tempestivo delle minacce è fondamentale per una mitigazione efficace. Le organizzazioni dovrebbero implementare solidi sistemi di rilevamento e prevenzione delle intrusioni (IDPS) per identificare e rispondere alle potenziali minacce in tempo reale.
- Piani di risposta agli incidenti: avere un piano di risposta agli incidenti ben definito può aiutare le organizzazioni a rispondere in modo efficace agli incidenti di sicurezza informatica. Il piano dovrebbe delineare le misure da adottare in caso di violazione, compresi il contenimento, l’eradicazione, il recupero e la notifica.
- Preparazione forense: le organizzazioni dovrebbero essere preparate per le indagini forensi in caso di violazione. Ciò include la conservazione delle prove, il mantenimento di registri dettagliati e la messa in atto di un processo per condurre indagini forensi.
La compromissione dei sistemi FortiGate da 20.000 utenti cinesi da parte degli hacker cinesi in tutto il mondo evidenzia l’importanza di misure proattive di sicurezza informatica. Adottando il principio “assume violazione” e implementando solide strategie di mitigazione, le organizzazioni possono limitare i danni e l’impatto delle potenziali minacce.
Di fronte a minacce informatiche sempre più sofisticate, le organizzazioni devono rimanere vigili e proattive nel loro approccio alla sicurezza informatica. Assumendo un atteggiamento proattivo, le organizzazioni possono proteggere i propri sistemi e dati e mantenere la fiducia dei propri clienti e delle parti interessate.
Fonte: https://cybersecuritynews.com/hackers-compromise-20k-fortigate-systems/
