Chyba zabezpečenia CVE-2022-42475

V rokoch 2022 až 2023 štátom podporovaní aktéri hrozieb napojení na Čínu infiltrovali 20 000 systémov Fortinet FortiGate na celom svete tak, že využili známu kritickú bezpečnostnú chybu. Toto porušenie odhaľuje širší dosah, ako sa predtým pripúšťalo.

Štátny aktér zodpovedný za túto operáciu si bol vedomý zraniteľnosti v systémoch FortiGate najmenej dva mesiace predtým, ako ju Fortinet odhalil. Počas tohto obdobia, známeho ako okno nultého dňa, herec úspešne kompromitoval 14 000 zariadení.

Podľa spoločnej správy Holandskej vojenskej spravodajskej a bezpečnostnej služby (MIVD) a Všeobecnej spravodajskej a bezpečnostnej služby (AIVD) začiatkom roku 2024 čínski hackeri zneužili CVE-2022-42475, kritickú zraniteľnosť vzdialeného spúšťania kódu FortiOS/FortiProxy. Počas niekoľkých mesiacov v rokoch 2022 a 2023 sa útočníkom podarilo nainštalovať malvér na zraniteľné bezpečnostné zariadenia siete Fortigate.

Útočníci nasadili Coatanger RAT do kompromitovaných zariadení

Malvér Coathanger Remote Access Trojan (RAT), objavený pri útokoch, bol tiež zistený v sieti patriacej holandskému ministerstvu obrany, ktorá sa konkrétne používa na výskum a vývoj (R&D) na neutajovaných projektoch. Našťastie vďaka segmentácii siete bolo útočníkom zabránené preniknúť do iných systémov.

Tento predtým nezverejnený kmeň malvéru, ktorý je schopný pretrvať počas reštartov systému a upgradov firmvéru, použila čínska štátom podporovaná hackerská skupina v politickej špionážnej kampani zameranej na Holandsko a jeho spojencov. To umožnilo štátnemu aktérovi trvalý prístup k napadnutým systémom. Dokonca aj s bezpečnostnými aktualizáciami nainštalovanými z FortiGate, štátny aktér zachováva tento prístup.

Presný počet obetí s nainštalovaným malvérom zostáva neznámy. Výskumníci však špekulujú, že štátny aktér by mohol potenciálne rozšíriť ich prístup k stovkám obetí po celom svete, čo by umožnilo ďalšie akcie, ako je krádež údajov.

Kyberzločinci môžu mať stále prístup k narušeným zariadeniam

Od februára vyšlo najavo, že čínska skupina hrozieb získala v rokoch 2022 až 2023 prístup k viac ako 20 000 systémom FortiGate na celom svete, čo trvalo niekoľko mesiacov, minimálne dva mesiace predtým, ako spoločnosť Fortinet odhalila zraniteľnosť CVE-2022-42475.

MIVD naznačuje, že čínski hackeri si pravdepodobne udržia prístup k mnohým obetiam, pretože malvér Coathanger je schopný vyhnúť sa detekcii zachytávaním systémových hovorov, čo sťažuje identifikáciu jeho prítomnosti. Navyše je odolný voči odstráneniu a prežije aktualizácie firmvéru. CVE-2022-42475 bola zneužitá ako zraniteľnosť nultého dňa, primárne zameraná na vládne organizácie a pridružené subjekty, ako bolo odhalené v januári 2023.

Tieto útoky majú nápadnú podobnosť s inou čínskou hackerskou kampaňou, ktorá sa zamerala na využívanie neopravených zariadení SonicWall Secure Mobile Access (SMA) pomocou kybernetického špionážneho malvéru navrhnutého tak, aby pretrvával aj pri aktualizáciách firmvéru.