荷兰军事情报和安全局（MIVD）今天警告称，今年早些时候揭露的中国网络间谍活动的影响“比之前所知的要大得多”。

正如 MIVD 今年 2 月在与印度情报和安全总局 (AIVD) 的联合报告中披露的那样，中国黑客在 2022 年至 2023 年的几个月内利用了关键的 FortiOS/FortiProxy 远程代码执行漏洞 ( CVE-2022-42475 )，在易受攻击的 Fortigate 网络安全设备上部署了恶意软件。

MIVD 表示：“在这一所谓的‘零日’期间，攻击者单独感染了 14,000 台设备。目标包括数十个（西方）政府、国际组织和大量国防工业公司。”

攻击中使用的 Coathanger 远程访问木马 (RAT) 恶意软件也出现在荷兰国防部用于非机密项目研发 (R&D) 的网络中。不过，由于网络分段，攻击者无法转移到其他系统。

MIVD 发现，这种之前未知的恶意软件可以在系统重启和固件升级后继续存在，它是由中国政府支持的黑客组织在针对荷兰及其盟友的政治间谍活动中部署的。

MIVD 补充道：“这让国家行为者获得了对系统的永久访问权限。即使受害者安装了 FortiGate 的安全更新，国家行为者仍会继续保留此访问权限。”

“目前尚不清楚有多少受害者实际上安装了恶意软件。荷兰情报机构和 NCSC 认为，国家行为者可能会将其访问权限扩大到全球数百名受害者，并采取窃取数据等其他行动。”

至少 20,000 个 Fortigate 系统遭到入侵

自 2 月份以来，荷兰军事情报部门发现，该中国威胁组织在 2022 年至 2023 年的几个月时间内获得了对全球至少 20,000 个 FortiGate 系统的访问权限，这比 Fortinet 披露 CVE-2022-42475 漏洞至少早了两个月。

MIVD 认为，中国黑客仍然可以感染大量受害者，因为 Coathanger 恶意软件很难被发现（它会拦截系统调用以避免暴露其存在），而且由于它在固件升级后仍然存在，因此很难删除。

CVE-2022-42475 也被用作零日漏洞，针对政府组织和相关实体，正如 Fortinet 于 2023 年 1 月披露的那样。

这些攻击与另一起中国黑客活动有许多相似之处，该活动针对未修补的 SonicWall 安全移动访问 (SMA) 设备，使用旨在抵御固件升级的网络间谍恶意软件。

点击此处阅读原文。