Hackers chinos explotaron una vulnerabilidad zero-day para instalar malware

Presuntos hackers chinos explotaron una vulnerabilidad de FortiOS SSL-VPN recientemente revelada como un d铆a cero en diciembre. El ataque apunt贸 a un gobierno europeo y un MSP africano con un nuevo malware personalizado para Linux y Windows llamado ‘BOLDMOVE’.
La vulnerabilidad ha sido identificada como CVE-2022-42475 y Fortinet la repar贸 silenciosamente en noviembre. Fortinet revel贸 p煤blicamente la vulnerabilidad en diciembre, instando a los clientes a parchear sus dispositivos ya que los atacantes estaban explotando activamente la vulnerabilidad.
La vulnerabilidad permite que los atacantes remotos no autenticados bloqueen los dispositivos objetivo de forma remota u obtengan la ejecuci贸n remota de c贸digo.
Sin embargo, no fue hasta este mes que Fortinet comparti贸 m谩s detalles sobre c贸mo los hackers la explotaron. Fortinet explic贸 que los atacantes se hab铆an dirigido a entidades gubernamentales con malware personalizado dise帽ado espec铆ficamente para ejecutarse en dispositivos FortiOS.
Este incidente contin煤a el patr贸n de China de explotar los dispositivos conectados a Internet, espec铆ficamente aquellos que se utilizan con fines de seguridad administrada. Por ejemplo, firewalls, dispositivos IPS/IDS, etc. Estos dispositivos son objetivos atractivos por m煤ltiples razones. En primer lugar, son accesibles a trav茅s de Internet y, si el atacante tiene un exploit, puede obtener acceso a una red sin necesidad de interacci贸n con la v铆ctima. Esto le permite al atacante controlar el momento de la operaci贸n y puede disminuir las posibilidades de detecci贸n.
Los atacantes se centraron en mantener la persistencia en los dispositivos explotados mediante el uso de malware personalizado para parchear los procesos de registro de FortiOS. Esto para que las entradas de registro espec铆ficas pudieran eliminarse o deshabilitar el proceso de registro por completo.
El nuevo malware BOLDMOVE
Recientemente, Mandiant public贸 un informe sobre una supuesta campa帽a de espionaje chino que aprovecha la vulnerabilidad de FortiOS desde octubre de 2022. La campa帽a ha utilizado un nuevo malware llamado ‘BOLDMOVE’: el malware fue dise帽ado expl铆citamente para ataques en dispositivos FortiOS.
BOLDMOVE es una puerta trasera con todas las funciones escrita en C que permite a los hackers chinos obtener un control de mayor nivel sobre el dispositivo. La versi贸n de Linux fue creada espec铆ficamente para ejecutarse en dispositivos FortiOS.
Mandiant identific贸 varias versiones de BOLDMOVE con diferentes capacidades, pero el conjunto b谩sico de caracter铆sticas observadas en todas las muestras incluye:
- Realizaci贸n de topograf铆a del sistema.
- Recepci贸n de comandos del servidor C2 (comando y control).
- Generaci贸n de una shell remota en el host.
- Retransmisi贸n de tr谩fico a trav茅s del dispositivo vulnerado
Los comandos admitidos por BOLDMOVE permiten a los atacantes administrar archivos de forma remota, ejecutar comandos, crear shells interactivas y controlar puertas traseras.
Las variantes de Windows y Linux son en gran medida iguales. No obstante, utilizan bibliotecas diferentes, y Mandiant cree que la versi贸n de Windows se compil贸 en 2021, casi un a帽o antes que la variante de Linux.

Sin embargo, la diferencia m谩s significativa entre las versiones de Linux y Windows es que una de las variantes de Linux contiene una funcionalidad que apunta espec铆ficamente a los dispositivos FortiOS.
BOLDMOVE para Linux
Por ejemplo, una versi贸n de Linux BOLDMOVE permite a los atacantes modificar los registros de Fortinet en el sistema comprometido o deshabilitar los demonios de registro (miglogd y syslogd) por completo. En otras palabras, dificulta que los defensores rastreen la intrusi贸n.
Adem谩s, esta versi贸n de BOLDMOVE puede enviar solicitudes a los servicios internos de Fortinet, lo que permite a los atacantes enviar solicitudes de red a toda la red interna y propagarse lateralmente a otros dispositivos.
Tal como dijimos al principio, el grupo de ciberespionaje chino contin煤a apuntando a dispositivos conectados a Internet sin parches, como firewalls y dispositivos IPS/ISD, ya que ofrecen f谩cil acceso a la red sin necesidad de interacci贸n.
Desafortunadamente, no es sencillo para los defensores examinar qu茅 procesos se ejecutan en estos dispositivos. Y, Mandiant dice que los mecanismos de seguridad nativos no funcionan muy bien para protegerlos.
“No existe un mecanismo para detectar procesos maliciosos que se ejecutan en dichos dispositivos, ni telemetr铆a para buscar de manera proactiva im谩genes maliciosas implementadas en ellos luego de la explotaci贸n de una vulnerabilidad”.
Explicaci贸n de Mandiant en el informe.
Esto hace que los dispositivos de red sean un punto ciego para los profesionales de la seguridad y permite a los atacantes esconderse en ellos y mantener el sigilo durante largos per铆odos, al mismo tiempo que los usan para afianzarse en una red espec铆fica.
Los exploits necesarios para comprometer estos dispositivos pueden requerir muchos recursos para desarrollarse y, por lo tanto, se utilizan con mayor frecuencia en operaciones contra objetivos protegidos y de alta prioridad; a menudo en los sectores de gobierno y defensa.
La aparici贸n de una puerta trasera hecha a medida para uno de esos dispositivos demuestra el profundo conocimiento de los atacantes sobre c贸mo funcionan los dispositivos de la red perimetral y la oportunidad de acceso inicial que representan.