Εικόνα: Midjourney
Η Ολλανδική Στρατιωτική Υπηρεσία Πληροφοριών και Ασφάλειας (MIVD) προειδοποίησε σήμερα ότι ο αντίκτυπος μιας κινεζικής εκστρατείας κυβερνοκατασκοπείας που αποκαλύφθηκε νωρίτερα φέτος είναι «πολύ μεγαλύτερος από ό,τι ήταν γνωστό στο παρελθόν».
Όπως αποκάλυψε το MIVD τον Φεβρουάριο σε μια κοινή έκθεση με τη Γενική Υπηρεσία Πληροφοριών και Ασφάλειας (AIVD), Κινέζοι χάκερ εκμεταλλεύτηκαν μια κρίσιμη ευπάθεια
εκτέλεση
ς κώδικα FortiOS/FortiProxy από απόσταση (
CVE-2022-42475
) σε διάστημα μερικών μηνών μεταξύ 2022 και 2023 για την
ανάπτυξη
κακόβουλου λογισμικού σε ευάλωτες
συσκευές
ασφαλείας δικτύου Fortigate.
“Κατά τη διάρκεια αυτής της αποκαλούμενης περιόδου “zero-day”, ο ηθοποιός μόλυνα
14
.000 συσκευές μόνο. Στους στόχους περιλαμβάνονται δεκάδες (δυτικές) κυβερνήσεις, διεθνείς οργανισμοί και ένας μεγάλος αριθμός εταιρειών της αμυντικής βιομηχανίας”, η MIVD
είπε
.
Το MIVD διαπίστωσε ότι αυτό το προηγουμένως άγνωστο στέλεχος κακόβουλου λογισμικού, το οποίο θα μπορούσε να επιβιώσει από επανεκκινήσεις συστήματος και αναβαθμίσεις υλικολογισμικού, αναπτύχθηκε από μια κινεζική κρατική ομάδα hacking σε μια εκστρατεία πολιτικής κατασκοπείας με στόχο την Ολλανδία και τους συμμάχους της.
“Αυτό έδωσε στον κρατικό παράγοντα μόνιμη πρόσβαση στα συστήματα. Ακόμα κι αν ένα θύμα εγκαταστήσει ενημερώσεις ασφαλείας από το FortiGate, ο κρατικός παράγοντας συνεχίζει να διατηρεί αυτήν την πρόσβαση”, πρόσθεσε το MIVD.
“Δεν είναι γνωστό πόσα θύματα έχουν εγκατεστημένο κακόβουλο λογισμικό. Οι ολλανδικές υπηρεσίες πληροφοριών και το NCSC θεωρούν πιθανό ότι ο κρατικός παράγοντας θα μπορούσε ενδεχομένως να επεκτείνει την πρόσβασή του σε εκατοντάδες θύματα παγκοσμίως και να προβεί σε πρόσθετες ενέργειες όπως η κλοπή δεδομένων.”
Τουλάχιστον 20.000 συστήματα Fortigate παραβιάστηκαν
Από τον Φεβρουάριο, η ολλανδική στρατιωτική υπηρεσία πληροφοριών ανακάλυψε ότι η κινεζική ομάδα απειλών απέκτησε πρόσβαση σε τουλάχιστον 20.000 συστήματα FortiGate παγκοσμίως το 2022 και το 2023 σε διάστημα μερικών μηνών, τουλάχιστον δύο μήνες πριν η Fortinet αποκαλύψει την ευπάθεια CVE-2022-42475 .
Το MIVD πιστεύει ότι οι Κινέζοι χάκερ εξακολουθούν να έχουν πρόσβαση σε πολλά θύματα, επειδή το κακόβουλο λογισμικό Coathanger είναι δύσκολο να εντοπιστεί καθώς παρεμποδίζει τις κλήσεις συστήματος για να αποφύγει την αποκάλυψη της παρουσίας του και είναι επίσης δύσκολο να αφαιρεθεί καθώς επιβιώνει από αναβαθμίσεις υλικολογισμικού.
Το CVE-2022-42475 αξιοποιήθηκε επίσης ως ημέρα μηδέν για τη στόχευση κυβερνητικών οργανισμών και σχετικών οντοτήτων, όπως αποκαλύφθηκε από την Fortinet τον Ιανουάριο του 2023.
Αυτές οι επιθέσεις έχουν πολλές ομοιότητες με μια άλλη κινεζική καμπάνια hacking που στόχευε μη επιδιορθωμένες συσκευές SonicWall Secure
Mobile
Access (SMA) με κακόβουλο λογισμικό κυβερνοκατασκοπείας σχεδιασμένο να αντέχει σε αναβαθμίσεις υλικολογισμικού.
VIA:
bleepingcomputer.com
0