CVE-2022-42475 ช่องโหว่

ระหว่างปี 2565 ถึง 2566 ผู้แสดงภัยคุกคามที่ได้รับการสนับสนุนจากรัฐซึ่งเชื่อมโยงกับจีนได้แทรกซึมระบบ Fortinet FortiGate จำนวน 20,000 เครื่องทั่วโลก โดยใช้ประโยชน์จากข้อบกพร่องด้านความปลอดภัยที่สำคัญซึ่งทราบกันดีอยู่แล้ว การละเมิดนี้เผยให้เห็นผลกระทบในวงกว้างมากกว่าที่รับทราบก่อนหน้านี้

ผู้มีบทบาทของรัฐที่รับผิดชอบการดำเนินการนี้ทราบถึงช่องโหว่ในระบบ FortiGate อย่างน้อยสองเดือนก่อนที่ Fortinet จะเปิดเผย ในช่วงเวลานี้หรือที่เรียกว่าหน้าต่างซีโร่เดย์ นักแสดงสามารถโจมตีอุปกรณ์ 14,000 เครื่องได้สำเร็จ

ตามรายงานร่วมกันระหว่างหน่วยข่าวกรองและความมั่นคงทางทหารของเนเธอร์แลนด์ (MIVD) และหน่วยข่าวกรองและความมั่นคงทั่วไป (AIVD) เมื่อต้นปี 2567 แฮกเกอร์ชาวจีนใช้ประโยชน์จาก CVE-2022-42475 ซึ่งเป็นช่องโหว่สำคัญในการเรียกใช้โค้ดจากระยะไกลของ FortiOS/FortiProxy ในช่วงหลายเดือนในปี 2022 และ 2023 ผู้โจมตีสามารถติดตั้งมัลแวร์บนอุปกรณ์รักษาความปลอดภัยเครือข่าย Fortigate ที่มีช่องโหว่

ผู้โจมตีปรับใช้ Coathanger RAT ไปยังอุปกรณ์ที่ถูกบุกรุก

มัลแวร์ Coathanger Remote Access Trojan (RAT) ที่ถูกค้นพบในการโจมตีนั้น ยังตรวจพบบนเครือข่ายที่เป็นของกระทรวงกลาโหมเนเธอร์แลนด์ ซึ่งใช้สำหรับการวิจัยและพัฒนา (R&D) ในโครงการที่ไม่เป็นความลับโดยเฉพาะ โชคดี เนื่องจากการแบ่งส่วนเครือข่าย ผู้โจมตีจึงถูกป้องกันไม่ให้แทรกซึมระบบอื่นๆ

สายพันธุ์มัลแวร์ที่ไม่เปิดเผยก่อนหน้านี้ ซึ่งสามารถคงอยู่ได้ผ่านการรีบูตระบบและอัปเกรดเฟิร์มแวร์ ถูกใช้โดยกลุ่มแฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐจีน ในแคมเปญจารกรรมทางการเมืองที่มีเป้าหมายไปที่เนเธอร์แลนด์และพันธมิตร สิ่งนี้ทำให้นักแสดงของรัฐสามารถเข้าถึงระบบที่ถูกบุกรุกอย่างต่อเนื่อง แม้ว่าจะมีการติดตั้งการอัปเดตความปลอดภัยจาก FortiGate แต่ผู้มีบทบาทของรัฐยังคงรักษาการเข้าถึงนี้ไว้

ยังไม่ทราบจำนวนเหยื่อที่ติดตั้งมัลแวร์ที่แน่นอน อย่างไรก็ตาม นักวิจัยคาดการณ์ว่าผู้มีบทบาทของรัฐอาจขยายการเข้าถึงเหยื่อหลายร้อยรายทั่วโลก ทำให้เกิดการดำเนินการเพิ่มเติม เช่น การขโมยข้อมูล

อาชญากรไซเบอร์อาจยังสามารถเข้าถึงอุปกรณ์ที่ถูกละเมิดได้

ตั้งแต่เดือนกุมภาพันธ์ เป็นที่ชัดเจนว่ากลุ่มภัยคุกคามของจีนสามารถเข้าถึงระบบ FortiGate มากกว่า 20,000 ระบบทั่วโลกระหว่างปี 2565 ถึง 2566 เป็นระยะเวลาหลายเดือน อย่างน้อยสองเดือนก่อนที่ Fortinet จะเปิดเผยช่องโหว่ CVE-2022-42475

MIVD ชี้ให้เห็นว่าแฮกเกอร์ชาวจีนมีแนวโน้มที่จะเข้าถึงเหยื่อจำนวนมากได้ เนื่องจากมัลแวร์ Coathanger เชี่ยวชาญในการหลบเลี่ยงการตรวจจับโดยการสกัดกั้นการเรียกของระบบ ซึ่งทำให้ยากต่อการระบุตัวตน นอกจากนี้ยังมีความยืดหยุ่นในการถอดออกและยังคงอยู่กับการอัพเกรดเฟิร์มแวร์ CVE-2022-42475 ถูกใช้เป็นช่องโหว่แบบ Zero-day โดยมีเป้าหมายหลักที่องค์กรภาครัฐและหน่วยงานในเครือ ตามที่เปิดเผยในเดือนมกราคม 2023

การโจมตีเหล่านี้มีความคล้ายคลึงกันอย่างเห็นได้ชัดกับแคมเปญแฮ็กอื่นๆ ของจีนที่เน้นไปที่การใช้ประโยชน์จากอุปกรณ์ SonicWall Secure Mobile Access (SMA) ที่ยังไม่มีแพตช์ โดยใช้มัลแวร์จารกรรมทางไซเบอร์ที่ออกแบบมาเพื่อคงอยู่ผ่านการอัปเกรดเฟิร์มแวร์