Η Ολλανδική Στρατιωτική Υπηρεσία Πληροφοριών και Ασφάλειας (MIVD) προειδοποίησε για μια εκστρατεία κυβερνοκατασκοπείας από Κινέζους hackers, η οποία αποκαλύφθηκε νωρίτερα φέτος και στόχευσε ευάλωτα Fortigate συστήματα. Οι ειδικοί εξήγησαν ότι ο αντίκτυπος αυτή της καμπάνιας ήταν «πολύ μεγαλύτερος από ό,τι πιστεύαμε».
Ας πάρουμε τα πράγματα από την αρχή. Τον Φεβρουάριο, η MIVD μαζί με τη Γενική Υπηρεσία Πληροφοριών και Ασφάλειας (AIVD), είπαν ότι Κινέζοι hackers εκμεταλλεύτηκαν μια κρίσιμη ευπάθεια FortiOS/FortiProxy (CVE-2022-42475), μέσα σε λίγους μήνες μεταξύ 2022 και 2023. Η ευπάθεια επέτρεπε στους Κινέζους hackers να εκτελέσουν κώδικα απομακρυσμένα, με σκοπό να αναπτύξουν malware σε ευάλωτες συσκευές ασφαλείας δικτύου Fortigate.
Δείτε επίσης: Κινέζοι hackers συνεργάζονται για κυβερνοκατασκοπεία
“Κατά τη διάρκεια αυτής της περιόδου “zero-day”, οι επιτιθέμενοι μόλυναν 14.000 συσκευές. Στους στόχους περιλαμβάνονται δεκάδες (δυτικές) κυβερνήσεις, διεθνείς οργανισμοί και ένας μεγάλος αριθμός εταιρειών στην αμυντική βιομηχανία“, ανέφερε η MIVD.
Το malware, που μόλυνε τα συστήματα, ήταν το Coathanger RAT, το οποίο εντοπίστηκε και σε ένα δίκτυο του ολλανδικού Υπουργείου Άμυνας που χρησιμοποιείται για έρευνα και ανάπτυξη (R&D) unclassified projects. Ωστόσο, λόγω της τμηματοποίησης του δικτύου, οι εισβολείς δεν μπόρεσαν να μετακινηθούν σε άλλα συστήματα.
Η MIVD διαπίστωσε ότι αυτό το προηγουμένως άγνωστο malware, το οποίο μπορούσε να επιβιώσει από επανεκκινήσεις συστήματος και αναβαθμίσεις firmware, αναπτύχθηκε από κρατικούς Κινέζους hackers για πολιτική κατασκοπεία με στόχο την Ολλανδία και τους συμμάχους της.
“Αυτό έδωσε στον κρατικό παράγοντα μόνιμη πρόσβαση στα συστήματα. Ακόμα κι αν ένα θύμα εγκαταστήσει ενημερώσεις ασφαλείας FortiGate, οι hackers συνεχίζουν να διατηρούν αυτήν την πρόσβαση“, πρόσθεσε η MIVD.
Δεν είναι γνωστός ο αριθμός των θυμάτων, αλλά οι ειδικοί πιστεύουν ότι οι hackers θα μπορούσαν να επεκτείνουν την πρόσβασή τους σε εκατοντάδες θύματα παγκοσμίως και να κάνουν διάφορα πράγματα, όπως η κλοπή δεδομένων.
Δείτε επίσης: Κινέζοι hackers στρέφονται σε δίκτυα μεσολάβησης ORB
Τουλάχιστον 20.000 συστήματα Fortigate παραβιάστηκαν
Από τον Φεβρουάριο, η ολλανδική στρατιωτική υπηρεσία πληροφοριών ανακάλυψε ότι η κινεζική ομάδα απειλών απέκτησε πρόσβαση σε τουλάχιστον 20.000 συστήματα FortiGate παγκοσμίως το 2022 και το 2023, τουλάχιστον δύο μήνες πριν η Fortinet αποκαλύψει την ευπάθεια CVE-2022-42475 .
Η MIVD πιστεύει ότι οι Κινέζοι hackers εξακολουθούν να έχουν πρόσβαση σε πολλά συστήματα FortiGate, δεδομένου ότι το Coathanger malware εντοπίζεται δύσκολα και είναι ανθεκτικό σε ενημερώσεις.
Δείτε επίσης: Κινέζοι hackers παραβιάζουν δίκτυα μέσω ευπαθειών ScreenConnect και F5 BIG-IP
Η εμπλοκή Κινέζων hackers σε αυτήν την επίθεση προσθέτει ένα άλλο επίπεδο στο ήδη πολύπλοκο τοπίο απειλών στον κυβερνοχώρο, που αντιμετωπίζουν οι οργανισμοί σε όλο τον κόσμο. Οι φορείς απειλών με έδρα την Κίνα έχουν συνδεθεί με πολυάριθμες επιθέσεις υψηλού προφίλ που στοχεύουν κυβερνήσεις, εταιρείες και άτομα.
Η ανακάλυψη της ευπάθειας FortiGate και η εκμετάλλευσή της από Κινέζους hackers χρησιμεύουν ως υπενθύμιση για τους οργανισμούς να παραμείνουν σε εγρήγορση για την προστασία της υποδομής ασφάλειας του δικτύου τους. Καθώς οι απειλές στον κυβερνοχώρο εξελίσσονται με ανησυχητικό ρυθμό, είναι επιτακτική ανάγκη για τις εταιρείες να θεσπίσουν ισχυρά μέτρα ασφαλείας και να εφαρμόζουν τις πιο πρόσφατες ενημερώσεις ασφαλείας.
Πηγή: www.bleepingcomputer.com
