CVE-2022-42475 Уязвимость

В период с 2022 по 2023 год спонсируемые государством злоумышленники, связанные с Китаем, проникли в 20 000 систем Fortinet FortiGate по всему миру, воспользовавшись известным критическим недостатком безопасности. Это нарушение имеет более широкое воздействие, чем признавалось ранее.

Государственный субъект, ответственный за эту операцию, уже знал об уязвимости в системах FortiGate как минимум за два месяца до того, как она была раскрыта Fortinet. За этот период, известный как окно нулевого дня, злоумышленник успешно взломал 14 000 устройств.

Согласно совместному отчету Службы военной разведки и безопасности Нидерландов (MIVD) и Службы общей разведки и безопасности (AIVD) в начале 2024 года, китайские хакеры воспользовались CVE-2022-42475, критической уязвимостью удаленного выполнения кода FortiOS/FortiProxy. За несколько месяцев 2022 и 2023 годов злоумышленникам удалось установить вредоносное ПО на уязвимые устройства сетевой безопасности Fortigate.

Злоумышленники использовали вешалку RAT на взломанных устройствах

Вредоносная программа Coathanger Remote Access Trojan (RAT), обнаруженная в ходе атак, также была обнаружена в сети, принадлежащей Министерству обороны Нидерландов, которая специально использовалась для исследований и разработок (НИОКР) в рамках несекретных проектов. К счастью, благодаря сегментации сети злоумышленникам не удалось проникнуть в другие системы.

Этот ранее нераскрытый штамм вредоносного ПО, способный сохраняться после перезагрузки системы и обновления прошивки, использовался спонсируемой государством хакерской группой Китая в кампании политического шпионажа, направленной против Нидерландов и их союзников. Это предоставило государственному субъекту постоянный доступ к скомпрометированным системам. Даже если обновления безопасности установлены с помощью FortiGate, государственный субъект сохраняет этот доступ.

Точное количество жертв с установленным вредоносным ПО остается неизвестным. Однако исследователи предполагают, что государственный субъект потенциально может расширить свой доступ к сотням жертв по всему миру, что позволит совершать дальнейшие действия, такие как кража данных.

Киберпреступники все еще могут иметь доступ к взломанным устройствам

С февраля стало известно, что китайская группа угроз получила доступ к более чем 20 000 системам FortiGate по всему миру в период с 2022 по 2023 год, за несколько месяцев, по крайней мере, за два месяца до того, как Fortinet раскрыла уязвимость CVE-2022-42475.

MIVD предполагает, что китайские хакеры, вероятно, сохраняют доступ к многочисленным жертвам, поскольку вредоносное ПО Coathanger умеет уклоняться от обнаружения путем перехвата системных вызовов, что затрудняет идентификацию его присутствия. Более того, он устойчив к удалению и обновлению прошивки. Как выяснилось в январе 2023 года, CVE-2022-42475 использовалась как уязвимость нулевого дня, в первую очередь нацеленная на правительственные организации и аффилированные с ними организации.

Эти атаки имеют поразительное сходство с другой китайской хакерской кампанией, направленной на использование неисправленных устройств SonicWall Secure Mobile Access (SMA) с использованием вредоносного ПО для кибершпионажа, сохраняющегося после обновления прошивки.