Serviciul Olandez de Informații și Securitate Militară (MIVD) a avertizat astăzi că impactul unei campanii chineze de spionaj cibernetic dezvăluit la începutul acestui an este „mult mai mare decât se știa anterior”.
După cum a dezvăluit MIVD în februarie, într-un raport comun cu Serviciul General de Informații și Securitate (AIVD), hackerii chinezi au exploatat o vulnerabilitate critică de execuție a codului de la distanță FortiOS/FortiProxy (CVE-2022-42475), timp de câteva luni, între 2022 și 2023.
„În această perioadă așa-zisa „zi zero”, actorul a infectat 14.000 de dispozitive. Țintele includ zeci de guverne (occidentale), organizații internaționale și un număr mare de companii din industria de apărare”, a spus MIVD.
Malware-ul troian de acces la distanță Coathanger (RAT), utilizat în atacuri, a fost găsit și pe o rețea a Ministerului Apărării olandez folosită în cercetarea și dezvoltarea (R&D) a proiectelor neclasificate. Totuși, din cauza segmentării rețelei, atacatorii au fost blocați să se mute pe alte sisteme.
MIVD a descoperit că această tulpină de malware, necunoscută anterior, care ar putea supraviețui repornirilor sistemului și actualizărilor de firmware, a fost implementată de un grup de hacking sponsorizat de statul chinez, într-o campanie de spionaj politic care vizează Țările de Jos și aliații săi.
Cel puțin 20.000 de sisteme Fortigate au fost compromise.
Din februarie, serviciul olandez de informații militare a descoperit că grupul chinez de amenințare a obținut acces la cel puțin 20.000 de sisteme FortiGate din întreaga lume în 2022 și 2023 într-un interval de câteva luni, cu cel puțin două luni înainte ca Fortinet să dezvăluie vulnerabilitatea CVE-2022-42475.
MIVD consideră că hackerii chinezi au încă acces la multe victime, deoarece malware-ul Coathanger este greu de detectat, deoarece interceptează apelurile de sistem pentru a evita dezvăluirea prezenței sale și este, de asemenea, dificil de eliminat, deoarece supraviețuiește actualizărilor de firmware.
CVE-2022-42475 a fost, de asemenea, exploatat ca zi zero pentru a viza organizațiile guvernamentale și entitățile conexe, după cum a dezvăluit Fortinet în ianuarie 2023.
Sursa: https://www.bleepingcomputer.com/news/security/chinese-hackers-breached-20-000-fortigate-systems-worldwide/