MIVD informuje o aktywnym wykorzystaniu luki w FortiOS
12.06.2024
Holenderskie Służby Wywiadu Wojskowego i Bezpieczeństwa (MIVD) ostrzega, że wpływ kampanii szpiegowskiej ujawnionej na początku tego roku jest znacznie większy niż wcześniej sądzono.
W lutym MIVD, we współpracy z Generalną Służbą Wywiadu i Bezpieczeństwa (AIVD), ujawnili, że chińscy hakerzy wykorzystali krytyczną podatność w systemach FortiOS i FortiProxy (CVE-2022-42475) między 2022 a 2023 rokiem, aby przepchnąć swoje złośliwe oprogramowanie.
Podczas okresu 0-day, hakerzy zainfekowali 14 000 urządzeń w tym organizacje rządowe, międzynarodowe oraz wiele firm z branży obronnej. Złośliwe oprogramowanie typu RAT (Remote Access Trojan) o nazwie Coathanger zostało znalezione również w sieci holenderskiego Ministerstwa Obrony używanej do badań i rozwoju projektów nieklasyfikowanych. Na szczęście, dzięki poprawnej segmentacji sieci, atakujący nie mieli zbyt wiele pola do popisu.
MIVD ujawnia, że ten dotąd nieznay malware, który jest w stanie przetrwać restart i aktualizacje systemu, został stworzony przez chińską grupę hakerską sponsorowaną przez państwo w ramach kampanii szpiegowskiej skierowanej na Holandię i jej sojuszników.
Nie wiadomo, ile ofiar faktycznie ma zainstalowane złośliwe oprogramowanie. Holenderskie służby wywiadowcze i NCSC uważają, że jest bardzo prawdopodobne, że hakerzy mogli rozszerzyć swój dostęp do setek ofiar na całym świecie i przeprowadzić dodatkowe działania, takie jak kradzież danych – dodaje MIVD.
Przynajmniej 20 000 systemów FortiGate zhakowanych
MIVD odkryło, że od lutego chińska grupa hakerska uzyskała dostęp do systemów FortiGate na całym świecie na przestrzeni kilku miesięcy na przełomie 2022 i 2023 roku, przynajmniej dwa miesiące przed ujawnieniem podatności CVE-2022-42475 przez Fortinet.
MIVD uważa, że hakerzy nadal mogą mieć dostęp do swoich ofiar, ponieważ ich malware jest trudny do wykrycia. Coathanger przechwytuje wywołania systemowe, aby nie ujawnić swojej obecności, a także jest trudny do usunięcia, ponieważ może przetrwać aktualizację firmware.
Krzysztof Kopeć
Krzysztof Kopeć jest absolwentem wydziału Elektroniki Politechniki Wrocławskiej. Od lat pilnuje porządku wśród zer i jedynek poruszających się w miedzi i w powietrzu. W swojej karierze skupia się aktualnie na bezpieczeństwie i kontroli dostępu do sieci oraz jej monitorowaniu. Jako Inżynier Systemowy w firmie Advatech najbardziej lubi podejście kompleksowe do swoich projektów. Wspiera klientów przez całość projektu poczynając od analizy potrzeb, poprzez projekt i wdrożenie, a kończąc na wsparciu utrzymania, podczas którego chętnie podpowie co jeszcze można zrobić, żeby podnieść jakość i bezpieczeństwo infrastruktury klienta.
