ЦВЕ-2022-42475 Рањивост

Између 2022. и 2023. године, актери претњи које спонзорише држава, повезани са Кином, инфилтрирали су се у 20.000 Фортинет ФортиГате система широм света користећи познату критичну безбедносну грешку. Ово кршење открива шири утицај него што је раније признато.

Државни актер одговоран за ову операцију већ је био свестан рањивости у ФортиГате системима најмање два месеца пре него што је то открио Фортинет. Током овог периода, познатог као прозор нултог дана, глумац је успешно компромитовао 14.000 уређаја.

Према заједничком извештају Холандске војне обавештајне и безбедносне службе (МИВД) и Опште обавештајне и безбедносне службе (АИВД) почетком 2024. године, кинески хакери су искористили ЦВЕ-2022-42475, критичну рањивост ФортиОС/ФортиПроки даљинског извршавања кода. Током неколико месеци 2022. и 2023. године, нападачи су успели да инсталирају малвер на рањиве уређаје за безбедност мреже Фортигате.

Нападачи су распоредили Цоатхангер РАТ на компромитоване уређаје

Малвер Цоатхангер Ремоте Аццесс Тројан (РАТ), откривен у нападима, такође је откривен на мрежи која припада холандском Министарству одбране, а посебно се користи за истраживање и развој (Р&Д) на некласификованим пројектима. На срећу, због сегментације мреже, нападачи су били спречени да се инфилтрирају у друге системе.

Овај претходно необјављени сој злонамерног софтвера, способан да опстане кроз поновно покретање система и надоградњу фирмвера, користила је хакерска група коју спонзорише кинеска држава у кампањи политичке шпијунаже усмереној на Холандију и њене савезнике. Ово је државном актеру омогућило упоран приступ компромитованим системима. Чак и са безбедносним ажурирањима инсталираним са ФортиГате-а, државни актер одржава овај приступ.

Тачан број жртава са инсталираним малвером остаје непознат. Међутим, истраживачи спекулишу да би државни актер потенцијално могао да прошири њихов приступ стотинама жртава широм света, омогућавајући даље радње као што је крађа података.

Сајбер криминалци могу и даље имати приступ оштећеним уређајима

Од фебруара је дошло до сазнања да је кинеска група претњи добила приступ преко 20.000 ФортиГате система широм света између 2022. и 2023. године, у распону од неколико месеци, најмање два месеца пре него што је Фортинет открио рањивост ЦВЕ-2022-42475.

МИВД сугерише да кинески хакери вероватно одржавају приступ бројним жртвама јер је малвер Цоатхангер вешт у избегавању откривања пресретања системских позива, што отежава његово присуство. Штавише, отпоран је на уклањање и преживљава надоградње фирмвера. ЦВЕ-2022-42475 је искоришћен као рањивост нултог дана, првенствено усмерен на владине организације и повезана правна лица, као што је откривено у јануару 2023.

Ови напади деле запањујуће сличности са другом кинеском хакерском кампањом која се фокусирала на искоришћавање незакрпљених СоницВалл Сецуре Мобиле Аццесс (СМА) уређаја, користећи малвер за сајбер шпијунажу дизајниран да опстане кроз надоградњу фирмвера.