Ευπάθεια CVE-2022-42475

Μεταξύ 2022 και 2023, κρατικοί φορείς απειλών που συνδέονται με την Κίνα διείσδυσαν σε 20.000 συστήματα Fortinet FortiGate παγκοσμίως, εκμεταλλευόμενοι ένα γνωστό κρίσιμο ελάττωμα ασφαλείας. Αυτή η παραβίαση αποκαλύπτει ευρύτερο αντίκτυπο από ό,τι είχε προηγουμένως αναγνωριστεί.

Ο κρατικός παράγοντας που είναι υπεύθυνος για αυτήν την επιχείρηση γνώριζε ήδη την ευπάθεια στα συστήματα FortiGate τουλάχιστον δύο μήνες πριν αποκαλυφθεί από την Fortinet. Κατά τη διάρκεια αυτής της περιόδου, γνωστής ως το παράθυρο της ημέρας μηδέν, ο ηθοποιός παραβίασε με επιτυχία 14.000 συσκευές.

Σύμφωνα με μια κοινή έκθεση της Ολλανδικής Στρατιωτικής Υπηρεσίας Πληροφοριών και Ασφάλειας (MIVD) και της Γενικής Υπηρεσίας Πληροφοριών και Ασφαλείας (AIVD) στις αρχές του 2024, Κινέζοι χάκερ εκμεταλλεύτηκαν το CVE-2022-42475, μια κρίσιμη ευπάθεια εκτέλεσης απομακρυσμένου κώδικα FortiOS/FortiProxy. Για αρκετούς μήνες το 2022 και το 2023, οι εισβολείς κατάφεραν να εγκαταστήσουν κακόβουλο λογισμικό σε ευάλωτες συσκευές ασφαλείας δικτύου Fortigate.

Οι επιτιθέμενοι ανέπτυξαν το Coathanger RAT σε παραβιασμένες συσκευές

Το κακόβουλο λογισμικό Coathanger Remote Access Trojan (RAT), που ανακαλύφθηκε στις επιθέσεις, εντοπίστηκε επίσης σε ένα δίκτυο που ανήκει στο Υπουργείο Άμυνας της Ολλανδίας, το οποίο χρησιμοποιείται ειδικά για Έρευνα και Ανάπτυξη (R&D) σε μη ταξινομημένα έργα. Ευτυχώς, λόγω της τμηματοποίησης του δικτύου, οι εισβολείς εμποδίστηκαν να διεισδύσουν σε άλλα συστήματα.

Αυτό το στέλεχος κακόβουλου λογισμικού που δεν είχε αποκαλυφθεί προηγουμένως, ικανό να επιμένει μέσω επανεκκινήσεων συστήματος και αναβαθμίσεων υλικολογισμικού, χρησιμοποιήθηκε από μια κινεζική κρατική ομάδα hacking σε μια εκστρατεία πολιτικής κατασκοπείας που στόχευε την Ολλανδία και τους συμμάχους της. Αυτό παρείχε στον κρατικό παράγοντα επίμονη πρόσβαση στα παραβιασμένα συστήματα. Ακόμη και με τις ενημερώσεις ασφαλείας που έχουν εγκατασταθεί από το FortiGate, ο κρατικός παράγοντας διατηρεί αυτήν την πρόσβαση.

Ο ακριβής αριθμός των θυμάτων με εγκατεστημένο το κακόβουλο λογισμικό παραμένει άγνωστος. Ωστόσο, οι ερευνητές εικάζουν ότι ο κρατικός παράγοντας θα μπορούσε ενδεχομένως να επεκτείνει την πρόσβασή τους σε εκατοντάδες θύματα παγκοσμίως, επιτρέποντας περαιτέρω ενέργειες όπως η κλοπή δεδομένων.

Οι κυβερνοεγκληματίες ενδέχεται να εξακολουθούν να έχουν πρόσβαση στις παραβιασμένες συσκευές

Από τον Φεβρουάριο, αποκαλύφθηκε ότι μια κινεζική ομάδα απειλών απέκτησε πρόσβαση σε περισσότερα από 20.000 συστήματα FortiGate παγκοσμίως μεταξύ 2022 και 2023, σε διάστημα αρκετών μηνών, τουλάχιστον δύο μήνες πριν η Fortinet αποκαλύψει την ευπάθεια CVE-2022-42475.

Το MIVD προτείνει ότι οι Κινέζοι χάκερ πιθανότατα διατηρούν πρόσβαση σε πολλά θύματα, επειδή το κακόβουλο λογισμικό Coathanger είναι ικανό να αποφεύγει τον εντοπισμό υποκλοπώντας κλήσεις συστήματος, καθιστώντας δύσκολη την αναγνώριση της παρουσίας του. Επιπλέον, είναι ανθεκτικό στην αφαίρεση και επιβιώνει από αναβαθμίσεις υλικολογισμικού. Το CVE-2022-42475 αξιοποιήθηκε ως ευπάθεια zero-day, στοχεύοντας κυρίως κυβερνητικούς οργανισμούς και συνδεδεμένες οντότητες, όπως αποκαλύφθηκε τον Ιανουάριο του 2023.

Αυτές οι επιθέσεις μοιράζονται εντυπωσιακές ομοιότητες με μια άλλη κινεζική καμπάνια hacking που επικεντρώθηκε στην εκμετάλλευση συσκευών SonicWall Secure Mobile Access (SMA) που δεν έχουν επιδιορθωθεί, χρησιμοποιώντας κακόβουλο λογισμικό κυβερνοκατασκοπείας σχεδιασμένο να επιμένει μέσω αναβαθμίσεων υλικολογισμικού.