Serviciul de Informații și Securitate Militară olandeză (MIVD) a avertizat astăzi că impactul unei campanii de spionaj cibernetic chineze dezvăluite mai devreme în acest an este „mult mai mare decât s-a crezut anterior”.
Conform MIVD, hackerii chinezi au exploatat o vulnerabilitate critică de execuție de cod la distanță FortiOS/FortiProxy (CVE-2022-42475) timp de câteva luni între 2022 și 2023 pentru a implementa malware pe echipamentele de securitate a rețelei Fortigate vulnerabile.
„În această perioadă denumită ‘zero-day’, actorul a infectat singur 14.000 de dispozitive. Printre ținte se numără zeci de guverne (occidentale), organizații internaționale și un număr mare de companii din industria de apărare”, a declarat MIVD.
Malware-ul troian de acces la distanță Coathanger (RAT) folosit în atacuri a fost găsit și pe o rețea a Ministerului Apărării din Olanda utilizată în cercetare și dezvoltare (R&D) a proiectelor neclasificate. Cu toate acestea, datorită segmentării rețelei, atacatorii au fost blocați să treacă la alte sisteme.
MIVD a constatat că această tulpină de malware anterior necunoscută, care putea supraviețui repornirilor sistemului și actualizărilor de firmware, a fost implementată de un grup de hackeri sprijinit de statul chinez într-o campanie de spionaj politic îndreptată împotriva Olandei și a aliaților săi.
„Acest lucru i-a oferit actorului de stat acces permanent la sisteme. Chiar dacă o victimă instalează actualizări de securitate de la FortiGate, actorul de stat continuă să păstreze acest acces”, a adăugat MIVD.
„Nu se știe câți victime au de fapt malware instalat. Serviciile de informații olandeze și NCSC consideră probabil ca actorul de stat să poată extinde potențial accesul său la sute de victime din întreaga lume și să desfășoare acțiuni suplimentare precum furtul de date”.
De la începutul lunii februarie, serviciul de informații militare olandez a descoperit că grupul de amenințări chinez a obținut acces la cel puțin 20.000 de sisteme FortiGate din întreaga lume în 2022 și 2023 pe o perioadă de câteva luni, cu cel puțin două luni înainte ca Fortinet să dezvăluie vulnerabilitatea CVE-2022-42475.
MIVD crede că hackerii chinezi încă au acces la multe victime deoarece malware-ul Coathanger este dificil de detectat, deoarece interceptează apelurile sistemului pentru a evita dezvăluirea prezenței sale și este, de asemenea, dificil de eliminat, deoarece supraviețuiește actualizărilor de firmware.
CVE-2022-42475 a fost, de asemenea, exploatat ca zero-day pentru a viza organizații guvernamentale și entități conexe, așa cum a fost dezvăluit de Fortinet în ianuarie 2023.
Aceste atacuri prezintă multe similarități cu o altă campanie de hacking chineză care a vizat echipamentele SonicWall Secure Mobile Access (SMA) nepatch-uite cu malware de spionaj cibernetic conceput să reziste actualizărilor de firmware.
Grupurile de hacking chineze se aliază într-o campanie de spionaj cibernetic
Hackerii chinezi se ascund în rețelele militare și guvernamentale timp de 6 ani
Cercetătorii înfundă serverul malware PlugX cu 2,5 milioane de adrese IP unice
Noul backdoor Warmcookie Windows este propagat prin oferte de muncă false
Hackerii exploatează vulnerabilitățile ThinkPHP din 2018 pentru a instala shell-uri web ‘Dama’
Leave a Reply