Sommario
Il National Cyber Security Centre (NCSC) olandese ha recentemente pubblicato aggiornamenti critici riguardanti due notizie principali che evidenziano l’attenzione crescente verso gli edge devices come target per attacchi di cyberspionaggio e malware: cyberspionaggio statale e una nuova minaccia scoperta su dispositivi FortiGate.
Cyberspionaggio Statale su Edge Devices
Il NCSC, insieme ai servizi di intelligence militare e di sicurezza (MIVD e AIVD), ha scoperto una vasta campagna di cyberspionaggio condotta da attori statali cinesi. Questa campagna sfrutta vulnerabilità nei dispositivi edge, come i sistemi FortiGate.
Dettagli della Campagna COATHANGER
La campagna, identificata come COATHANGER, ha compromesso almeno 20.000 sistemi FortiGate in tutto il mondo, utilizzando la vulnerabilità CVE-2022-42475. L’attore statale ha avuto accesso a questi sistemi mesi prima che la vulnerabilità fosse resa pubblica, sfruttando una finestra di zero-day. I target principali includevano governi occidentali, organizzazioni internazionali e aziende del settore della difesa.
Durante questa campagna, l’attore ha installato malware sui sistemi compromessi, ottenendo accesso permanente anche dopo l’installazione di aggiornamenti di sicurezza. Questo indica una minaccia persistente e la difficoltà di rilevare e rimuovere completamente le infezioni.
Nuova minaccia malware su dispositivi FortiGate
In un altro incidente, il NCSC ha rilevato una nuova variante di malware, una Remote Access Trojan (RAT), specifica per dispositivi FortiGate. Questa scoperta sottolinea l’interesse continuo per gli edge devices, che sono spesso vulnerabili e difficili da monitorare.
Caratteristiche del malware
Il malware scoperto è progettato per mantenere l’accesso ai sistemi compromessi piuttosto che ottenerlo inizialmente. Utilizzando la vulnerabilità CVE-2022-42475, questa RAT opera al di fuori della vista delle misure di rilevamento tradizionali e rappresenta una minaccia persistente.
Il NCSC e i servizi di intelligence olandesi raccomandano una serie di misure per mitigare i rischi associati agli edge devices:
- Analisi del Rischio: Eseguire regolarmente analisi del rischio su edge devices, specialmente quando vengono aggiunte nuove funzionalità.
- Limitazione dell’Accesso: Limitare l’accesso a Internet degli edge devices disabilitando porte e funzionalità inutilizzate e proteggendo le interfacce di gestione.
- Monitoraggio della Log: Analizzare regolarmente i log per rilevare attività anomale, come tentativi di accesso in orari insoliti o da IP sconosciuti.
- Aggiornamenti di Sicurezza: Installare tempestivamente gli aggiornamenti di sicurezza forniti dai fornitori e utilizzare misure di protezione aggiuntive.
- Sostituzione dell’Hardware e Software: Rimuovere e sostituire hardware e software non più supportati dal fornitore.
Queste misure aiutano a prevenire le compromissioni iniziali e a limitare i danni in caso di attacco.
