Çin devleti destekli bilgisayar korsanları, Fortinet FortiGate cihazlarını hedef alarak Hollanda silahlı kuvvetleri tarafından kullanılan bir bilgisayar ağına sızdı.
“Bu [computer network] Hollanda Askeri İstihbarat ve Güvenlik Servisi (MIVD), sınıflandırılmamış araştırma ve geliştirme (Ar-Ge) için kullanıldı” dedi. söz konusu Bir açıklamada. “Bu sistem müstakil olduğundan savunma ağına herhangi bir zarar vermedi.” Ağın 50’den az kullanıcısı vardı.
2023 yılında gerçekleşen saldırı, FortiOS SSL-VPN’deki (CVE-2022-42475, CVSS puanı: 9,3) kimliği doğrulanmamış bir saldırganın özel hazırlanmış istekler aracılığıyla rastgele kod yürütmesine olanak tanıyan bilinen bir kritik güvenlik açığından yararlandı.
Kusurun başarılı bir şekilde kullanılması, bir arka kapının konuşlandırılmasının yolunu açtı. ELBİSE ASKI güvenliği ihlal edilmiş cihazlara kalıcı uzaktan erişim sağlamak üzere tasarlanmış, aktör kontrollü bir sunucudan.
Hollanda Ulusal Siber Güvenlik Merkezi (NCSC), “COATHANGER kötü amaçlı yazılımının gizli ve kalıcı olduğunu” söyledi. “Varlığını ortaya çıkarabilecek sistem çağrılarını bağlayarak kendini gizler. Yeniden başlatmalardan ve donanım yazılımı yükseltmelerinden sağ kurtulur.”
COATHANGER, bir Avrupa devlet kuruluşunu ve Afrika’da bulunan bir yönetilen hizmet sağlayıcıyı (MSP) hedef alan saldırılarda CVE-2022-42475’i sıfır gün olarak kullandığı bilinen Çin merkezli şüpheli bir tehdit aktörüne bağlı başka bir arka kapı olan BOLDMOVE’dan farklıdır. Ekim 2022 gibi erken bir tarihte.
Bu gelişme, Hollanda’nın bir siber casusluk kampanyasını Çin’e alenen ilk kez atfetmesi anlamına geliyor. Reuters, hangi parasız Hikayede, kötü amaçlı yazılımın adını aşağıdaki satırı içeren bir kod parçacığından aldığı söyleniyor: Kesime Kuzuİngiliz yazar Roald Dahl’ın kısa öyküsü.
Ayrıca, ABD yetkililerinin, kötü amaçlı trafiğin kökenlerini gizlemek için Volt Typhoon gibi Çinli tehdit aktörleri tarafından kullanılan, güncelliğini kaybetmiş Cisco ve NETGEAR yönlendiricilerinden oluşan bir botnet’i ortadan kaldırmak için adımlar atmasından günler sonra da geldi.
Geçtiğimiz yıl, Google’ın sahibi olduğu Mandiant, UNC3886 olarak takip edilen Çin merkezli bir siber casusluk grubunun, uzak bir sunucudan alınan rastgele komutları yürütmek ve hassas verileri sızdırmak amacıyla THINCRUST ve CASTLETAP implantlarını dağıtmak için Fortinet cihazlarındaki sıfır günleri istismar ettiğini ortaya çıkardı.
