Китайские правительственные хакеры взломали компьютерную сеть вооруженных сил Нидерландов, используя уязвимость в устройствах Fortinet FortiGate.
Согласно заявлению Службы военной разведки и безопасности Нидерландов (MIVD), затронутая компьютерная сеть использовалась для несекретных исследований и разработок (НИОКР). Поскольку система была автономной, она не привела к какому-либо повреждению защитной сети. В сети было менее 50 пользователей.
В ходе взлома, который произошел в 2023 году, злоумышленники эксплуатировали критическую уязвимость FortiOS SSL VPN ( CVE-2022-42475 , оценка CVSS: 9.8), которая позволяет неаутентифицированному атакующему выполнять произвольный код посредством специально созданных запросов.
Успешная эксплуатация уязвимости проложила путь к развертыванию бэкдора под названием COATHANGER с С2-сервера хакера, предназначенного для предоставления постоянного удаленного доступа к скомпрометированным устройствам.
В Национальном центре кибербезопасности Нидерландов объяснили, что вредоносная программа COATHANGER «скрытна и устойчива». COATHANGER скрывается, перехватывая системные вызовы, которые могут раскрыть его присутствие. Программа остаётся в системе даже после обновления или перезагрузки.
Стоит отметить, что упомянутый недостаток эксплуатировался ещё в октябре 2022 года в шпионских кампаниях китайских хакеров, направленных на правительственные сети Европы. Тогда уязвимость использовалась для доставки бэкдора BOLDMOVE, который был специально разработан для работы на межсетевых экранах Fortinet FortiGate.
MIVD с «высокой степенью уверенности» приписывает хакерские атаки и вредоносное ПО деятельности политическим хакерам из Китая. Указывается, что вредоносное ПО было обнаружено также в сетях западной международной миссии и нескольких других организаций. По мнению разведчиков Нидерландов, вирус разрабатывался специально для сетевых экранов FortiGate. Инцидент знаменует собой первый случай, когда Нидерланды публично приписывают Китаю кампанию кибершпионажа.
Сетевые устройства Fortinet
По данным Mandiant, устройства для выхода в Интернет (от англ. «internet-facing devices»), такие как брандмауэры, устройства IPS и IDS, являются привлекательными целями для атак кибербандитов.
Во-первых, у них есть доступ к Интернету. Значит, при наличии нужного эксплойта, доступ в сеть может быть обеспечен без какого-либо взаимодействия с жертвой, что позволяет злоумышленнику чётко контролировать время операции и снизить шансы на обнаружение.
Во-вторых, сетевые устройства хоть и предназначены для проверки сетевого трафика, поиска аномалий, а также признаков злонамеренного поведения, но зачастую сами уязвимы для атак хакеров.
Эксплойты для компрометации таких устройств сложно разрабатывать, поэтому они часто используются против высокоприоритетных целей — в государственном и оборонном секторах.
По словам Mandiant, пока не существует механизмов для обнаружения вредоносных процессов, запущенных на подобных сетевых устройствах, что делает сетевые устройства слепой зоной для специалистов по безопасности и позволяет злоумышленникам прятаться в них, сохраняя скрытность в течение длительного времени. А также использовать их, чтобы закрепиться в целевой сети.