Холандската служба за военно разузнаване и сигурност (MIVD) предупреди днес, че въздействието на китайската кампания за кибершпионаж, разкрита по-рано тази година, е „много по-голямо, отколкото беше известно досега“.
Както MIVD разкри през февруари в съвместен доклад с Главната служба за разузнаване и сигурност (AIVD), за който своевременно писахме, китайски хакери са използвали критична уязвимост в отдалеченото изпълнение на код на FortiOS/FortiProxy (CVE-2022-42475) в продължение на няколко месеца между 2022 и 2023 г., за да внедрят зловреден софтуер в уязвими устройства за мрежова сигурност Fortigate.
„По време на този така наречен период на „нулевия ден“ извършителят е заразил само 14 000 устройства. Целите включват десетки (западни) правителства, международни организации и голям брой компании в отбранителната индустрия“, заявиха от МВнР.
Зловредният софтуер за отдалечен достъп (RAT) Coathanger, използван в атаките, е открит и в мрежа на холандското министерство на отбраната, използвана в научноизследователската и развойната дейност (НИРД) на некласифицирани проекти. Въпреки това, поради сегментирането на мрежата, нападателите са били блокирани да преминат към други системи.
MIVD установи, че този неизвестен досега щам на зловреден софтуер, който може да оцелее след рестартиране на системата и обновяване на фърмуера, е бил внедрен от китайска държавно спонсорирана хакерска група в кампания за политически шпионаж, насочена срещу Нидерландия и нейните съюзници.
„Това даде на държавниата кибергрупа постоянен достъп до системите. Дори ако жертвата инсталира актуализации за сигурност от FortiGate, държавният извършител продължава да запазва този достъп“, добавиха от MIVD.
„Не е известно колко от жертвите действително са инсталирали зловреден софтуер. Нидерландските разузнавателни служби и НЦЗПБ смятат за вероятно държавната банда потенциално да разшири достъпа си до стотици жертви по целия свят и да извърши допълнителни действия, като например кражба на данни.“
От февруари насам нидерландската военна разузнавателна служба е открила, че китайската група за заплахи е получила достъп до поне 20 000 системи FortiGate по целия свят през 2022 г. и 2023 г. в продължение на няколко месеца, поне два месеца преди Fortinet да разкрие уязвимостта CVE-2022-42475.
МВнР смята, че китайските хакери все още имат достъп до много жертви, тъй като зловредният софтуер Coathanger е труден за откриване, тъй като прихваща системните повиквания, за да избегне разкриване на присъствието си, и също така е труден за отстраняване, тъй като оцелява при обновяване на фърмуера.
CVE-2022-42475 също е бил използван като нулев ден за атакуване на правителствени организации и свързани с тях структури, както е разкрито от Fortinet през януари 2023 г.
Тези атаки имат много сходства с друга китайска хакерска кампания, която беше насочена към непоправени устройства SonicWall Secure Mobile Access (SMA) с кибершпионски зловреден софтуер, проектиран да издържа на обновявания на фърмуера.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.