Китайские правительственные хакеры взломали компьютерную сеть вооруженных сил Нидерландов, используя уязвимость в устройствах Fortinet FortiGate.
Согласно заявлениюСлужбы военной разведки и безопасности Нидерландов (MIVD), затронутая компьютерная сеть использовалась для несекретных исследований и разработок (НИОКР). Поскольку система была автономной, она не привела к какому-либо повреждению защитной сети. В сети было менее 50 пользователей.
В ходе взлома, который произошел в 2023 году, злоумышленники эксплуатировали критическую уязвимость FortiOS SSL VPN ( CVE-2022-42475 , оценка CVSS: 9.8), которая позволяет неаутентифицированному атакующему выполнять произвольный код посредством специально созданных запросов.
Успешная эксплуатация уязвимости проложила путь к развертыванию бэкдора под названием COATHANGER с С2-сервера хакера, предназначенного для предоставления постоянного удаленного доступа к скомпрометированным устройствам.
В Национальном центре кибербезопасности Нидерландов объяснили, что вредоносная программа COATHANGER “скрытна и устойчива”. COATHANGER скрывается, перехватывая системные вызовы, которые могут раскрыть его присутствие. Программа остаётся в системе даже после обновления или перезагрузки.
Стоит отметить, что упомянутый недостаток эксплуатировался ещё в октябре 2022 года в шпионских кампаниях китайских хакеров, направленных на правительственные сети Европы. Тогда уязвимость использовалась для доставки бэкдора BOLDMOVE, который был специально разработан для работы на межсетевых экранах Fortinet FortiGate.
MIVD с “высокой степенью уверенности” приписывает хакерские атаки и вредоносное ПО деятельности политическим хакерам из Китая. Указывается, что вредоносное ПО было обнаружено также в сетях западной международной миссии и нескольких других организаций. По мнению разведчиков Нидерландов, вирус разрабатывался специально для сетевых экранов FortiGate. Инцидент знаменует собой первый случай, когда Нидерланды публично приписывают Китаю кампанию кибершпионажа.
Сетевые устройства Fortinet
По даннымMandiant, устройства для выхода в Интернет (от англ. Это устройства, которые подключены к Интернету и доступны для внешнего мира. Они могут быть использованы для различных целей, например, для доступа к веб-сайтам, почтовым серверам, сетевым устройствам и т.д.
Примеры интернет-фейсинг устройств:
- Веб-серверы, которые обслуживают веб-сайты.
- Роутеры, которые обеспечивают доступ к Интернету для домашней сети.
- Файерволы, которые защищают сеть от внешних угроз.
- Камеры наблюдения, которые подключены к Интернету и могут быть просматриваемы из любой точки мира.