Според Службата за военно разузнаване и сигурност (MIVD) на Нидерландия миналата година китайска група за кибершпионаж е проникнала в нидерландското министерство на отбраната и е разположила зловреден софтуер на компрометирани устройства.
Въпреки обратната връзка с хакнатите системи обаче щетите от пробива са били ограничени поради сегментирането на мрежата.
„Последиците от проникването бяха ограничени, тъй като мрежата на жертвата беше сегментирана от по-широките мрежи на МО“, заявиха MIVD и Службата за общо разузнаване и сигурност (AIVD) в съвместен доклад.
„Мрежата на жертвата имаше по-малко от 50 потребители. Нейната цел беше научноизследователска и развойна дейност (НИРД) по некласифицирани проекти и сътрудничество с два изследователски института на трети страни. Тези организации са били уведомени за инцидента“.
По време на последващото разследване в пробитата мрежа е открит и неизвестен досега щам на зловреден софтуер на име Coathanger – троянски кон за отдалечен достъп (RAT), предназначен да заразява устройствата за мрежова сигурност Fortigate.
„Забележително е, че имплантът COATHANGER е устойчив, възстановява се след всяко рестартиране, като инжектира резервно копие на себе си в процеса, отговорен за рестартирането на системата. Освен това инфекцията оцелява след обновяване на фърмуера“, предупреждават двете холандски агенции.
„Поради това дори напълно пачирани устройства FortiGate могат да бъдат заразени, ако са били компрометирани преди да бъде приложена последната кръпка.“
Зловредният софтуер работи незабележимо и постоянно, като се прикрива чрез прихващане на системни повиквания, за да не разкрие присъствието си. Освен това той се запазва и при рестартиране на системата и обновяване на фърмуера.
Макар че атаките не са приписани на конкретна група за заплахи, MIVD свързва този инцидент с висока степен на увереност с китайска държавно спонсорирана хакерска група и добавя, че тази злонамерена дейност е част от по-широк модел на китайски политически шпионаж, насочен към Нидерландия и нейните съюзници.
Китайските хакери са разположили зловредния софтуер Coathanger с цел кибершпионаж на уязвими защитни стени FortiGate, които са компрометирали чрез използване на уязвимостта CVE-2022-42475 FortiOS SSL-VPN.
CVE-2022-42475 също е била използвана като нулев ден при атаки, насочени към правителствени организации и свързани с тях цели, както Fortinet разкри през януари 2023 г.
Тези атаки имат много общи черти и с друга китайска хакерска кампания, която беше насочена към непоправени устройства SonicWall Secure Mobile Access (SMA) с кибершпионски зловреден софтуер, също проектиран да оцелява при обновяване на фърмуера.
Организациите се призовават да прилагат незабавно пачове за сигурност от доставчиците за всички устройства, насочени към интернет (edge), веднага щом станат достъпни, за да предотвратят подобни опити за атаки.
„За първи път МВнР реши да публикува технически доклад за методите на работа на китайските хакери. Важно е да се припишат подобни шпионски дейности от страна на Китай“, заяви министърът на отбраната Кайса Олонгрен.
„По този начин повишаваме международната устойчивост срещу този вид кибершпионаж“.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.