Согласно недавнему отчёту , опубликованному компанией Mandiant, предположительно китайские киберпреступники использовали уязвимость нулевого дня в FortiOS, операционной системе, разработанной американской компанией по кибербезопасности Fortinet, для совершения целенаправленной атаки.
Уязвимость под идентификатором CVE-2022-42475 была эксплуатирована ещё в октябре 2022 года. К моменту выхода отчёта “брешь” уже устранили. В январе Fortinet предупредила своих клиентов, что хакеры используют эту уязвимость для нападения на правительственные сети.
Mandiant обнаружила новую вредоносную программу, которую исследователи назвали Boldmove. Она была специально разработана для работы на межсетевых экранах FortiGate от Fortinet.
Исследователи полагают, что атака была проведена в рамках китайской операции по кибершпионажу, нацеленной на сетевые устройства. “Мы ожидаем, что эта тактика и далее будет предпочтительным вектором вторжения для хорошо обеспеченных ресурсами китайских групп”, – сказали представители Mandiant.
Вредоносное ПО Boldmove
Бэкдор Boldmove был обнаружен в декабре 2022 года. Он написан на языке программирования C и имеет варианты как для Windows, так и для Linux. Последний, к слову, предназначен для работы на сетевых устройствах Fortinet, поскольку он считывает данные из файлов, принадлежащих компании. При успешном выполнении вредоносное ПО позволяет злоумышленникам получить полный удаленный контроль над уязвимым устройством FortiOS.
Версия Boldmove для Windows была скомпилирована еще в 2021 году, однако специалисты Mandiant до этого момента не видели, чтобы этот вредонос использовался “в дикой природе” (ITW).
Исследователи Mandiant подозревают, что за атаками стоят китайские хакеры из-за используемой ими тактики и таргетинга. Кроме того, вредоносное ПО, по данным исследователей, было скомпилировано на компьютере, настроенном для отображения китайских иероглифов и расположенном в часовом поясе UTC+8, который включает Австралию, Китай, Россию, Сингапур и другие страны Восточной Азии.
Сетевые устройства Fortinet
Согласно Mandiant, устройства для выхода в Интернет (от англ. Это устройства, которые подключены к Интернету и доступны для внешнего мира. Они могут быть использованы для различных целей, например, для доступа к веб-сайтам, почтовым серверам, сетевым устройствам и т.д.
Примеры интернет-фейсинг устройств:
- Веб-серверы, которые обслуживают веб-сайты.
- Роутеры, которые обеспечивают доступ к Интернету для домашней сети.
- Файерволы, которые защищают сеть от внешних угроз.
- Камеры наблюдения, которые подключены к Интернету и могут быть просматриваемы из любой точки мира.