CVE-2022-42475 Уразливість

Між 2022 і 2023 роками спонсоровані державою загрозливі особи, пов’язані з Китаєм, проникли в 20 000 систем Fortinet FortiGate по всьому світу, використовуючи відомий критичний недолік безпеки. Це порушення має ширший вплив, ніж визнавалося раніше.

Державний суб’єкт, відповідальний за цю операцію, вже знав про вразливість у системах FortiGate принаймні за два місяці до того, як Fortinet розкрила її. Протягом цього періоду, відомого як вікно нульового дня, актор успішно зламав 14 000 пристроїв.

Згідно зі спільним звітом Служби військової розвідки та безпеки Нідерландів (MIVD) і Служби загальної розвідки та безпеки (AIVD) на початку 2024 року, китайські хакери скористалися CVE-2022-42475, критичною уразливістю FortiOS/FortiProxy у віддаленому виконанні коду. Протягом кількох місяців у 2022 та 2023 роках зловмисникам вдалося встановити зловмисне програмне забезпечення на вразливі пристрої безпеки мережі Fortigate.

Зловмисники розгорнули Coathanger RAT на зламаних пристроях

Зловмисне програмне забезпечення Coathanger Remote Access Trojan (RAT), виявлене під час атак, також було виявлено в мережі, що належить Міністерству оборони Нідерландів, спеціально використовуваному для досліджень і розробок (R&D) у незасекречених проектах. На щастя, завдяки сегментації мережі зловмисники не змогли проникнути в інші системи.

Цей раніше нерозкритий тип шкідливого програмного забезпечення, здатний зберігатися після перезавантаження системи та оновлення мікропрограми, використовувався спонсорованою державою китайською хакерською групою в кампанії політичного шпигунства, націленої на Нідерланди та їх союзників. Це надавало державному актору постійний доступ до скомпрометованих систем. Навіть якщо оновлення безпеки встановлено з FortiGate, актор стану підтримує цей доступ.

Точна кількість жертв із встановленим шкідливим програмним забезпеченням залишається невідомою. Проте дослідники припускають, що державний актор потенційно може розширити свій доступ до сотень жертв по всьому світу, уможлививши подальші дії, такі як крадіжка даних.

Кіберзлочинці все ще можуть мати доступ до зламаних пристроїв

З лютого стало відомо, що китайська група загроз отримала доступ до понад 20 000 систем FortiGate по всьому світу між 2022 і 2023 роками, що охоплювало кілька місяців, принаймні за два місяці до того, як Fortinet розкрила вразливість CVE-2022-42475.

MIVD припускає, що китайські хакери, ймовірно, мають доступ до численних жертв, оскільки зловмисне програмне забезпечення Coathanger вправно ухиляється від виявлення, перехоплюючи системні виклики, що ускладнює ідентифікацію його присутності. Крім того, він стійкий до видалення та витримує оновлення мікропрограми. CVE-2022-42475 використовувався як уразливість нульового дня, головним чином націлена на державні організації та афілійовані організації, як було виявлено в січні 2023 року.

Ці атаки мають вражаючу схожість з іншою китайською хакерською кампанією, яка була зосереджена на використанні невиправлених пристроїв SonicWall Secure Mobile Access (SMA) за допомогою шкідливого програмного забезпечення для кібершпигунства, розробленого для збереження через оновлення мікропрограми.