CVE-2022-42475 Cenueshmëria

Midis 2022 dhe 2023, aktorët e kërcënimit të sponsorizuar nga shteti të lidhur me Kinën depërtuan në 20,000 sisteme Fortinet FortiGate globalisht duke shfrytëzuar një të metë të njohur kritike të sigurisë. Kjo shkelje zbulon një ndikim më të gjerë nga sa ishte pranuar më parë.

Aktori shtetëror përgjegjës për këtë operacion ishte tashmë në dijeni të cenueshmërisë në sistemet FortiGate të paktën dy muaj përpara se të zbulohej nga Fortinet. Gjatë kësaj periudhe, e njohur si dritarja e ditës zero, aktori komprometoi me sukses 14,000 pajisje.

Sipas një raporti të përbashkët nga Shërbimi i Inteligjencës dhe Sigurisë Ushtarake Holandeze (MIVD) dhe Shërbimit të Përgjithshëm të Inteligjencës dhe Sigurisë (AIVD) në fillim të vitit 2024, hakerët kinezë shfrytëzuan CVE-2022-42475, një cenueshmëri kritike e ekzekutimit të kodit në distancë FortiOS/FortiProxy. Gjatë disa muajve në 2022 dhe 2023, sulmuesit arritën të instalonin malware në pajisjet e pambrojtura të sigurisë së rrjetit Fortigate.

Sulmuesit vendosën Coathanger RAT në pajisjet e komprometuara

Malware-i Coathanger Remote Access Trojan (RAT), i zbuluar në sulme, u zbulua gjithashtu në një rrjet që i përket Ministrisë Hollandeze të Mbrojtjes, i përdorur posaçërisht për Kërkim dhe Zhvillim (R&D) në projekte të paklasifikuara. Për fat të mirë, për shkak të segmentimit të rrjetit, sulmuesit u penguan të depërtonin në sisteme të tjera.

Ky lloj malware i pazbuluar më parë, i aftë për të vazhduar përmes rindezjeve të sistemit dhe përmirësimeve të firmuerit, u përdor nga një grup hakerash i sponsorizuar nga shteti kinez në një fushatë spiunazhi politik që synonte Holandën dhe aleatët e saj. Kjo i dha aktorit shtetëror akses të vazhdueshëm në sistemet e komprometuara. Edhe me përditësimet e sigurisë të instaluara nga FortiGate, aktori shtetëror e ruan këtë akses.

Numri i saktë i viktimave me malware të instaluar mbetet i panjohur. Megjithatë, studiuesit spekulojnë se aktori shtetëror mund të zgjerojë potencialisht aksesin e tyre për qindra viktima në mbarë botën, duke mundësuar veprime të mëtejshme si vjedhja e të dhënave.

Kriminelët kibernetikë mund të kenë ende akses në pajisjet e shkelura

Që nga shkurti, doli në dritë se një grup kërcënimi kinez fitoi akses në mbi 20,000 sisteme FortiGate në mbarë botën midis 2022 dhe 2023, duke përfshirë disa muaj, të paktën dy muaj përpara se Fortinet të zbulonte cenueshmërinë CVE-2022-42475.

MIVD sugjeron që hakerat kinezë ka të ngjarë të kenë akses në viktima të shumta sepse malware-i Coathanger është i aftë për të shmangur zbulimin duke përgjuar thirrjet e sistemit, duke e bërë të vështirë identifikimin e pranisë së tij. Për më tepër, është elastik ndaj heqjes dhe i mbijeton përmirësimeve të firmuerit. CVE-2022-42475 u shfrytëzua si një cenueshmëri e ditës zero, duke synuar kryesisht organizatat qeveritare dhe entitetet e lidhura, siç u zbulua në janar 2023.

Këto sulme ndajnë ngjashmëri të habitshme me një tjetër fushatë hakerimi kinez që u përqendrua në shfrytëzimin e pajisjeve të papatchuara SonicWall Secure Mobile Access (SMA), duke përdorur malware kibernetikë të spiunazhit të krijuar për të vazhduar përmes përmirësimeve të firmuerit.