fbpx

Hackerii chinezi au spart 20.000 de sisteme FortiGate

Serviciul Olandez de Informații și Securitate Militară (MIVD) a avertizat astăzi că impactul unei campanii chineze de spionaj cibernetic dezvăluit la începutul acestui an este „mult mai mare decât se știa anterior”.

După cum a dezvăluit MIVD în februarie, într-un raport comun cu Serviciul General de Informații și Securitate (AIVD), hackerii chinezi au exploatat o vulnerabilitate critică de execuție a codului de la distanță FortiOS/FortiProxy (CVE-2022-42475), timp de câteva luni, între 2022 și 2023.

„În această perioadă așa-zisa „zi zero”, actorul a infectat  14.000 de dispozitive. Țintele includ zeci de guverne (occidentale), organizații internaționale și un număr mare de companii din industria de apărare”, a spus MIVD.

Malware-ul troian de acces la distanță Coathanger (RAT), utilizat în atacuri, a fost găsit și pe o rețea a Ministerului Apărării olandez folosită în cercetarea și dezvoltarea (R&D) a proiectelor neclasificate. Totuși, din cauza segmentării rețelei, atacatorii au fost blocați să se mute pe alte sisteme.

MIVD a descoperit că această tulpină de malware, necunoscută anterior, care ar putea supraviețui repornirilor sistemului și actualizărilor de firmware, a fost implementată de un grup de hacking sponsorizat de statul chinez, într-o campanie de spionaj politic care vizează Țările de Jos și aliații săi.

Cel puțin 20.000 de sisteme Fortigate au fost compromise.
Din februarie, serviciul olandez de informații militare a descoperit că grupul chinez de amenințare a obținut acces la cel puțin 20.000 de sisteme FortiGate din întreaga lume în 2022 și 2023 într-un interval de câteva luni, cu cel puțin două luni înainte ca Fortinet să dezvăluie vulnerabilitatea CVE-2022-42475.

MIVD consideră că hackerii chinezi au încă acces la multe victime, deoarece malware-ul Coathanger este greu de detectat, deoarece interceptează apelurile de sistem pentru a evita dezvăluirea prezenței sale și este, de asemenea, dificil de eliminat, deoarece supraviețuiește actualizărilor de firmware.

CVE-2022-42475 a fost, de asemenea, exploatat ca zi zero pentru a viza organizațiile guvernamentale și entitățile conexe, după cum a dezvăluit Fortinet în ianuarie 2023.