Penggodam China melanggar 20,000 sistem FortiGate di seluruh dunia

Perkhidmatan Perisikan dan Keselamatan Tentera Belanda (MIVD) hari ini memberi amaran bahawa kesan kempen pengintipan siber China yang diumumkan awal tahun ini adalah "jauh lebih besar daripada yang diketahui sebelum ini."

Seperti yang didedahkan oleh MIVD pada Februari dalam laporan bersama dengan Perkhidmatan Perisikan dan Keselamatan Am (AIVD), penggodam China mengeksploitasi kerentanan pelaksanaan kod jauh FortiOS/FortiProxy yang kritikal ( CVE-2022-42475 ) selama beberapa bulan antara 2022 dan 2023 untuk digunakan. perisian hasad pada peralatan keselamatan rangkaian Fortigate yang terdedah.

"Dalam tempoh yang dipanggil 'sifar hari' ini, pelakon itu menjangkiti 14,000 peranti sahaja. Sasaran termasuk berpuluh-puluh kerajaan (Barat), organisasi antarabangsa dan sejumlah besar syarikat dalam industri pertahanan," kata MIVD.

Malware Coathanger remote access trojan (RAT) yang digunakan dalam serangan itu juga ditemui pada rangkaian Kementerian Pertahanan Belanda yang digunakan dalam penyelidikan dan pembangunan (R&D) projek yang tidak diklasifikasikan. Namun, disebabkan pembahagian rangkaian, penyerang telah disekat daripada berpindah ke sistem lain.

MIVD mendapati bahawa jenis perisian hasad yang tidak diketahui sebelum ini, yang boleh bertahan daripada but semula sistem dan peningkatan perisian tegar, telah digunakan oleh kumpulan penggodam tajaan kerajaan China dalam kempen pengintipan politik yang menyasarkan Belanda dan sekutunya.

"Ini memberikan pelakon negeri akses kekal kepada sistem. Walaupun mangsa memasang kemas kini keselamatan daripada FortiGate, pelakon negeri terus mengekalkan akses ini," tambah MIVD.

"Tidak diketahui berapa ramai mangsa yang sebenarnya telah dipasang perisian hasad. Perkhidmatan perisikan Belanda dan NCSC menganggap berkemungkinan aktor negara itu berpotensi meluaskan aksesnya kepada ratusan mangsa di seluruh dunia dan melakukan tindakan tambahan seperti mencuri data."

Sekurang-kurangnya 20,000 sistem Fortigate dilanggar

Sejak Februari, perkhidmatan perisikan tentera Belanda telah mendapati bahawa kumpulan ancaman China memperoleh akses kepada sekurang-kurangnya 20,000 sistem FortiGate di seluruh dunia pada 2022 dan 2023 dalam tempoh beberapa bulan, sekurang-kurangnya dua bulan sebelum Fortinet mendedahkan kerentanan CVE-2022-42475 .

MIVD percaya penggodam China masih mempunyai akses kepada ramai mangsa kerana perisian hasad Coathanger sukar dikesan kerana ia memintas panggilan sistem untuk mengelak daripada mendedahkan kehadirannya dan juga mencabar untuk dialih keluar kerana ia bertahan dalam peningkatan perisian tegar.

CVE-2022-42475 juga dieksploitasi sebagai hari sifar untuk menyasarkan organisasi kerajaan dan entiti berkaitan, seperti yang didedahkan oleh Fortinet pada Januari 2023.

Serangan ini mempunyai banyak persamaan dengan satu lagi kempen penggodaman Cina yang menyasarkan peralatan SonicWall Secure Mobile Access (SMA) yang belum ditambal dengan perisian hasad pengintipan siber yang direka untuk menahan peningkatan perisian tegar.

Baca dari artikel asal di sini .

Kembali ke blog

Memacu Inovasi dan Menimbulkan Peluang Baharu

Sama ada anda penjual semula, pengedar, pembekal penyelesaian atau vendor teknologi, kami menawarkan pilihan perkongsian yang berharga untuk membantu anda mengembangkan perniagaan anda dan membawa penyelesaian baharu ke pasaran.

Item ditambahkan pada troli anda