Luka CVE-2022-42475

W latach 2022–2023 sponsorowane przez państwo ugrupowania zagrażające powiązane z Chinami zinfiltrowały 20 000 systemów Fortinet FortiGate na całym świecie, wykorzystując znaną krytyczną lukę w zabezpieczeniach. Naruszenie to ujawnia szerszy wpływ, niż wcześniej sądzono.

Podmiot państwowy odpowiedzialny za tę operację wiedział już o luce w systemach FortiGate co najmniej dwa miesiące przed jej ujawnieniem przez Fortinet. W tym okresie, zwanym oknem zerowym, aktorowi udało się złamać zabezpieczenia 14 000 urządzeń.

Według wspólnego raportu holenderskiej Służby Wywiadu Wojskowego i Bezpieczeństwa (MIVD) oraz Służby Wywiadu Ogólnego i Bezpieczeństwa (AIVD) z początku 2024 r. chińscy hakerzy wykorzystali CVE-2022-42475, krytyczną lukę w zabezpieczeniach FortiOS/FortiProxy umożliwiającą zdalne wykonanie kodu. W ciągu kilku miesięcy w latach 2022 i 2023 atakującym udało się zainstalować złośliwe oprogramowanie na podatnych na ataki urządzeniach zabezpieczających sieć Fortigate.

Atakujący umieścili Coatanger RAT na zainfekowanych urządzeniach

Trojan zdalnego dostępu Coathanger (RAT) wykryty podczas ataków został również wykryty w sieci należącej do holenderskiego Ministerstwa Obrony, wykorzystywanej specjalnie do celów badawczo-rozwojowych (R&D) w ramach niesklasyfikowanych projektów. Na szczęście segmentacja sieci uniemożliwiła atakującym przedostanie się do innych systemów.

Ten wcześniej nieujawniony szczep złośliwego oprogramowania, który może przetrwać ponowne uruchomienie systemu i aktualizację oprogramowania sprzętowego, został wykorzystany przez sponsorowaną przez chińskie państwo grupę hakerską w kampanii szpiegostwa politycznego wymierzonej w Holandię i jej sojuszników. Zapewniło to podmiotowi państwowemu stały dostęp do zaatakowanych systemów. Nawet po zainstalowaniu aktualizacji zabezpieczeń z FortiGate aktor stanowy zachowuje ten dostęp.

Dokładna liczba ofiar, w przypadku których zainstalowano szkodliwe oprogramowanie, pozostaje nieznana. Badacze spekulują jednak, że aktor państwowy mógłby potencjalnie rozszerzyć swój dostęp na setki ofiar na całym świecie, umożliwiając dalsze działania, takie jak kradzież danych.

Cyberprzestępcy mogą nadal mieć dostęp do zhakowanych urządzeń

Od lutego wyszło na jaw, że chińska grupa zajmująca się zagrożeniami uzyskała dostęp do ponad 20 000 systemów FortiGate na całym świecie w latach 2022–2023, co trwało kilka miesięcy, co najmniej dwa miesiące przed ujawnieniem przez firmę Fortinet luki CVE-2022-42475.

MIVD sugeruje, że chińscy hakerzy prawdopodobnie utrzymują dostęp do wielu ofiar, ponieważ złośliwe oprogramowanie Coatanger skutecznie unika wykrycia poprzez przechwytywanie wywołań systemowych, co utrudnia identyfikację jego obecności. Co więcej, jest odporny na usunięcie i wytrzymuje aktualizacje oprogramowania sprzętowego. Jak ujawniono w styczniu 2023 r., luka CVE-2022-42475 została wykorzystana jako luka dnia zerowego, atakująca głównie organizacje rządowe i podmioty stowarzyszone.

Ataki te są uderzająco podobne do innej chińskiej kampanii hakerskiej, która skupiała się na wykorzystaniu niezałatanych urządzeń SonicWall Secure Mobile Access (SMA) przy użyciu cyberszpiegowskiego szkodliwego oprogramowania, którego zadaniem jest utrzymywanie się po aktualizacjach oprogramowania sprzętowego.