2022 és 2023 között kínai támadóknak sikerült legalább 20 000 Fortinet-eszközt kompromittálniuk, köztük olyanokat is, amelyek a holland kormány tulajdonában voltak.
A holland katonai hírszerző és biztonsági szolgálat (MIVD) nemrégiben hozta nyilvánosságra az utóbbi évek egyik legtöbb VPN eszközét érintő támadássorozatát, amiért Kínát tette felelőssé. Világszerte 20 000 eszközt kompromittáltak, ami mögött első sorban kiberkémkedési motivációk álltak.
A két szervezet a támadást politikai indíttatásúnak minősítette, amely Hollandia és szövetségesei ellen irányult.
Coathanger RAT
2024 februárjában a MIVD és az általános hírszerző tevékenységet végző szervezet (AIVD) közösen közzétett egy jelentést, amelyben részletesen bemutatták a kínai állam által támogatott FortiOS/FortiProxy-k ellen irányuló támadássorozatot. Az eszközöket a SSL-VPN funkcióhoz kapcsolódó sebezhetőség kihasználásával fertőzték meg.
A CVE-2022-42475 néven futó sebezhetőség lehetővé teszi a támadó számára a távoli kódfuttatást, teljes ellenőrzést szerezve a célzott eszköz felett.
A végpontok kompromittálásához a kínaiak a Coathanger nevű remote access trojan (RAT) programot használták. A RAT lehetővé tette a támadók számára, hogy az újraindítások és firmware-frissítések után is az eszközön maradjanak a fertőző kódok. Utóbbiakat a Fortinet FortiGate nevű tűzfalszoftverébe rejtették el.
A FortiGate egyik fontos funkciója, hogy támogatja a távoli munkavégzést, a támadó kód viszont back doort nyitott a rendszeren.
A patch ellenére is rejtőzködhetnek
A holland katonai hírszerzés szerint a kínaiak a hibát kihasználva, minimum 14 000 eszközt fertőztek meg. A célpontok között tucatnyi (nyugati) kormány, nemzetközi szervezet és számos vállalat volt érintett. A megtámadott eszközök között voltak olyanon is, amelyek a holland védelmi minisztérium kutatási és fejlesztési részlegéhez tartoztak. A holland védelmi minisztérium szerint a támadás kifejezetten elszigetelt hálózatot érintett, amit nem titkos kutatási és fejlesztési projektekhez használtak.
Annak ellenére, hogy a javítást már régen elérhetővé tette a gyártó, a MIVD úgy véli, hogy a Coathanger még mindig sok eszközön jelen lehet, mivel meglehetősen szívós kártevőről van szó, ami könnyen kijátssza a vírusirtó programokat.
(Kép: pixabay.com)
