aiutocomputerhelp
news

Fortinet FortiGate : COATHANGER. La storia Infinita.

Giovanni Popolizio , , , , , , , , , , , , , , , ,

COATHANGER

Nell’affrontare le minacce alla sicurezza informatica, è fondamentale comprendere i metodi e le tattiche degli attori malintenzionati, in particolare quando si tratta di intrusioni sostenute da stati sovrani. Nel recente caso di penetrazione nella rete informatica utilizzata dalle forze armate olandesi, gli hacker, presumibilmente legati allo Stato cinese, hanno preso di mira i dispositivi Fortinet FortiGate, sfruttando una vulnerabilità critica conosciuta in FortiOS SSL-VPN (CVE-2022-42475, con un punteggio CVSS di 9.3 –((CVE-2022-42475 : un sistema gruviera che ha sempre lo stesso tipo di falle !–))

Questo exploit ha permesso loro di eseguire codice arbitrario attraverso richieste appositamente create, aprendo la strada alla distribuzione di una backdoor denominata COATHANGER.

 

cybersecurity-COATHANGER
cybersecurity-COATHANGER

COATHANGER

Il malware COATHANGER, così denominato per il suo carattere subdolo e persistente, è  progettato per garantire un accesso remoto costante alle appliance compromesse. Il Centro nazionale olandese per la sicurezza informatica (NCSC) ha descritto COATHANGER come un agente furtivo. Un agente  in grado di mimetizzarsi agganciandosi alle chiamate di sistema per evitare la sua rilevazione. La sua capacità di sopravvivere ai riavvii e agli aggiornamenti del firmware lo rende particolarmente insidioso e difficile da eradicare una volta introdotto nella rete.

È interessante notare che COATHANGER non è il primo esempio di backdoor associato a un attore di minaccia cinese che sfrutta la vulnerabilità CVE-2022-42475. In precedenza, abbiamo assistito all’utilizzo di BOLDMOVE.

BOLDMOVE e un’altra backdoor con collegamenti simili, che è impiegata in attacchi mirati contro entità governative europee e fornitori di servizi gestiti in Africa. La persistente attività di questi attori mette in luce la necessità di una vigilanza costante e di una difesa proattiva contro le minacce informatiche.

L’attribuzione pubblica delle autorità olandesi a questa campagna di spionaggio informatico rappresenta un passo significativo nel riconoscimento e nella denuncia delle azioni cybercriminali sostenute da stati sovrani. È essenziale che la comunità internazionale si unisca nel contrastare tali attività. Si devono implementare misure di sicurezza robuste e collaborando per individuare, isolare e neutralizzare le minacce informatiche.

Malware COATHANGER

Il malware COATHANGER rappresenta un’arma sofisticata nelle mani degli attaccanti, consentendo loro di penetrare silenziosamente nei dispositivi FortiGate compromessi e stabilire un controllo persistente. Dopo l’installazione, il malware si connette regolarmente a un server di comando e controllo tramite SSL, facilitando l’accesso remoto attraverso una reverse shell BusyBox.

Ciò che rende COATHANGER particolarmente insidioso è la sua natura persistente e resistente. Il malware è progettato per riprendersi autonomamente dopo ogni riavvio del sistema, iniettando un backup di se stesso nel processo responsabile del riavvio. Inoltre, anche gli aggiornamenti del firmware non riescono a eliminare l’infezione, consentendo al malware di sopravvivere anche ai tentativi di rafforzare la sicurezza del dispositivo. Questo significa che anche i dispositivi FortiGate completamente patchati potrebbero rimanere vulnerabili se sono stati compromessi prima dell’applicazione delle patch più recenti.

Inoltre, COATHANGER è estremamente furtivo, facendo del suo meglio per eludere la rilevazione. Si mimetizza agganciandosi alle chiamate di sistema che potrebbero rivelare la sua presenza, sostituendosi ad esse per qualsiasi processo costretto a caricare il preload.so. Questa capacità di nascondersi tra le attività quotidiane del dispositivo lo rende estremamente difficile da individuare utilizzando i metodi di rilevamento tradizionali.

BOLDMOVE

È importante notare che COATHANGER differisce da BOLDMOVE, un altro RAT (Remote Access Trojan) che mira ai dispositivi FortiGate. Secondo le agenzie di intelligence olandesi, l’uso di COATHANGER sembra essere più mirato. Gli attori minaccia cinesi sembrano esplorare i dispositivi edge vulnerabili su vasta scala, ottenendo accesso in modo opportunistico, ma introducendo probabilmente COATHANGER come canale di comunicazione solo per vittime selezionate. In passato, l’impianto COATHANGER è stato individuato in una rete di una missione internazionale occidentale e in altre vittime selezionate, evidenziando la sua utilizzo mirato e strategico.

Questi sviluppi sottolineano l’importanza cruciale di adottare una difesa informatica solida e multifattoriale. È essenziale che le organizzazioni mantengano i loro dispositivi e le loro infrastrutture sempre aggiornati e implementino misure di sicurezza avanzate per proteggersi da minacce persistenti e altamente sofisticate come COATHANGER.

Da dove deriva il suo nome ?

Il termine “COATHANGER” sembra derivare da un frammento di codice contenente una frase tratta da “Lamb to the Slaughter”, un racconto dell’autore britannico Roald Dahl. Questa particolare scelta di denominazione potrebbe essere stata fatta dagli autori del malware per scopi simbolici o per confondere gli investigatori. Tuttavia, è importante notare che il collegamento esatto tra il nome del malware e il racconto di Roald Dahl potrebbe variare a seconda del contesto e dell’interpretazione.

Le domande

E’ possibile che un ente governativo con livelli di sicurezza elevati possa aver “dimenticato” di aggiornare i sistemi di difesa perimetrali ? Ammettere una cosa simile è di una gravità assurda.

Ma si aprono altri interogrativi :

  1. Dato che COATHANGER una volta entrato rimane persistente anche dopo gli “aggiornamenti”, sarà stato inoculato prima ?
  2. Visto che è persistente anche agli aggiornamenti possono aver pensato che fosse stato inoculato prima ed hanno eliminato la remota possibilità che gli aggiornamenti in realtà non servono a nulla ?

Hanno ammesso di essere stati hackerati , ma le modalità e le cause non sono mai state descritte.

UNC3886 e FortiOS

Gli attori delle minacce per il cyber spionaggio continuano a mirare alle tecnologie che non supportano soluzioni di rilevamento e risposta agli endpoint (EDR), come firewall, dispositivi IoT, hypervisor e tecnologie VPN (ad esempio Fortinet, SonicWall, Pulse Secure e altri). Mandiant ha investigato dozzine di intrusioni presso organizzazioni della base industriale della difesa (DIB), governative, tecnologiche e delle telecomunicazioni nel corso degli anni, dove gruppi sospettati di essere collegati alla Cina hanno sfruttato vulnerabilità zero-day e distribuito malware personalizzato per rubare credenziali utente e mantenere l’accesso a lungo termine agli ambienti delle vittime.

Spesso si  osservano operatori di cyber spionaggio che sfruttano vulnerabilità zero-day e distribuiscono malware personalizzato su sistemi esposti su Internet come vettore di attacco iniziale. In questo post, vi porto  scenari in cui un attore delle minacce sospettato di essere collegato alla Cina ( UNC3886)  probabilmente aveva già accesso agli ambienti delle vittime e ha quindi distribuito backdoor sulle soluzioni Fortinet e VMware come mezzo per mantenere l’accesso persistente agli ambienti. Ciò ha coinvolto l’uso di una vulnerabilità zero-day locale in FortiOS (CVE-2022-41328) e la distribuzione di diverse famiglie di malware personalizzato su sistemi Fortinet e VMware. Mandiant ha pubblicato dettagli sull’ecosistema di malware VMware nel settembre 2022.

Il fatto.

A metà del 2022, Mandiant, in collaborazione con Fortinet, ha indagato sull’exploit e sulla distribuzione di malware su diverse soluzioni Fortinet, inclusi FortiGate (firewall), FortiManager (soluzione di gestione centralizzata) e FortiAnalyzer (piattaforma di gestione log, analisi e reportistica).

I seguenti passaggi descrivono generalmente le azioni intraprese dagli attori delle minacce:

  1. Utilizzo di uno sfruttamento zero-day locale di directory traversal (Più che un firewall  è una scatoletta per sardine CVE-2022-41328 ) per scrivere file sui dischi del firewall FortiGate al di fuori dei limiti normali consentiti con l’accesso alla shell.
  2. Mantenimento dell’accesso persistente con privilegi di Super Amministratore all’interno dei firewall FortiGate tramite il colpo di porta ICMP.
  3. Circonvenzione delle regole del firewall attivo sui dispositivi FortiManager con un’utilità di redirezione del traffico passivo, consentendo connessioni continue alle backdoor persistenti con privilegi di Super Amministratore.
  4. Stabilimento della persistenza su dispositivi FortiManager e FortiAnalyzer attraverso un endpoint API personalizzato creato all’interno del dispositivo.
  5. Disabilitazione della verifica delle firme digitali OpenSSL 1.1.0 dei file di sistema attraverso la corruzione mirata dei file di avvio.

Mandiant

Mandiant attribuisce questa attività a UNC3886, un gruppo che sospettiamo abbia un legame con la Cina ed è associato al nuovo framework di malware per l’hypervisor VMware ESXi divulgato nel settembre 2022. Al momento dei compromessi dell’hypervisor ESXi, Mandiant ha osservato UNC3886 collegarsi direttamente dai dispositivi FortiGate e FortiManager alle backdoor VIRTUALPITA in più occasioni.

Mandiant sospettava che i dispositivi FortiGate e FortiManager fossero compromessi a causa delle connessioni a VIRTUALPITA dagli indirizzi IP di gestione Fortinet. Inoltre, i dispositivi FortiGate con la modalità di conformità agli standard federali di elaborazione delle informazioni (FIPS) abilitata non sono riusciti a avviarsi dopo essere stati riavviati in seguito. Quando la modalità FIPS è abilitata, viene confrontato un checksum del sistema operativo con un checksum di un’immagine pulita. Poiché il sistema operativo è stato manomesso dall’attore delle minacce, il confronto del checksum è fallito e i firewall FortiGate sono stati protettivamente bloccati durante l’avvio. Con l’assistenza di Fortinet, Mandiant ha acquisito un’immagine forense di questi dispositivi falliti, portando alla scoperta della backdoor CASTLETAP tramite colpo di porta ICMP.

Per me rimane sempre una scatoletta di sardine con il nulla dentro.