Recientemente, un incidente de seguridad cibernética ha capturado la atención mundial: hackers chinos lograron infiltrarse en la red del ejército holandés, infectándola con malware. Este incidente no solo destaca la sofisticación y audacia de los ciberatacantes, sino que también sirve como un llamado de atención sobre la importancia de fortalecer nuestras defensas digitales.
El año pasado, el Ministerio de Defensa holandés sufrió un ataque de ciberespionaje por parte de un grupo chino, según informó el Servicio de Seguridad e Inteligencia Militar (MIVD) de los Países Bajos. Este grupo logró infiltrarse en la red y colocar malware en dispositivos comprometidos. Afortunadamente, el daño causado fue limitado debido a la segmentación de la red, lo que impidió que el ataque se propagara más allá de las áreas específicas afectadas.
El MIVD y el Servicio General de Inteligencia y Seguridad (AIVD) señalaron en un informe conjunto que la red comprometida tenía menos de 50 usuarios y se utilizaba principalmente para la investigación y desarrollo de proyectos no clasificados, así como para la colaboración con institutos de investigación externos. Todas las organizaciones involucradas fueron notificadas del incidente.
Conoce más sobre: Análisis de Malware con Wazuh
Durante una investigación posterior, se identificó en la red comprometida una nueva variante de malware denominada Coathanger, un troyano de acceso remoto (RAT) diseñado específicamente para infectar los dispositivos de seguridad de red Fortigate.
Según las autoridades holandesas, "es importante destacar que el implante COATHANGER es persistente y se regenera después de cada reinicio al inyectar una copia de seguridad de sí mismo en el proceso responsable del reinicio del sistema. Además, esta infección logra sobrevivir a las actualizaciones del firmware".
Este malware opera de manera sigilosa y continua, evitando la detección al interceptar llamadas al sistema. Además, es capaz de persistir incluso después de reinicios del sistema y actualizaciones de firmware.
Aunque los ataques no fueron atribuidos a un grupo de amenazas específico, el MIVD relacionó este incidente con gran confianza a un grupo de piratería respaldado por el estado chino, como parte de un patrón más amplio de espionaje político dirigido a los Países Bajos y sus aliados.
Te podrá interesar: AllaKore RAT: Malware afecta a empresas mexicanas
Los hackers chinos utilizaron el malware Coathanger con fines de ciberespionaje en firewalls FortiGate vulnerables, aprovechando la vulnerabilidad CVE-2022-42475 en FortiOS SSL-VPN. Esta misma vulnerabilidad fue explotada como un día cero en ataques dirigidos a organizaciones gubernamentales y objetivos relacionados, según reveló Fortinet en enero de 2023.
Estos ataques presentan similitudes con otra campaña de piratería china dirigida a dispositivos SonicWall Secure Mobile Access (SMA), utilizando malware de ciberespionaje diseñado para persistir incluso tras actualizaciones de firmware.
Se insta a las organizaciones a aplicar rápidamente los parches de seguridad suministrados por los proveedores para todos los dispositivos conectados a Internet, a fin de evitar intentos de ataques similares.
La ministra de Defensa, Kajsa Ollongren, señaló: "Por primera vez, el MIVD ha decidido hacer público un informe técnico sobre los métodos de trabajo de los hackers chinos. Es importante atribuir tales actividades de espionaje a China, aumentando así la resiliencia internacional contra este tipo de ciberespionaje".
Conoce más sobre: Spyware: ¿Qué es y Cómo Detectarlo?
El ataque cibernético a la red del ejército holandés por parte de hackers chinos es un recordatorio de que en la era digital, la guerra no se limita al campo de batalla físico. La ciberseguridad es ahora un componente integral de la seguridad nacional e internacional, y la preparación contra ciberataques es más crítica que nunca.
Para proteger nuestras sociedades en esta era de ciberamenazas omnipresentes, es esencial adoptar un enfoque proactivo y colaborativo hacia la ciberseguridad. Esto no solo implica mejorar nuestras defensas tecnológicas, sino también fortalecer nuestras alianzas internacionales y promover una cultura de seguridad y resiliencia digital entre ciudadanos y organizaciones.
A medida que avanzamos, el incidente de la red militar holandesa debe servir como un catalizador para la acción, motivándonos a todos a trabajar juntos para construir un futuro más seguro en el ciberespacio.