Les acteurs malveillants parrainés par l’État et soutenus par la Chine ont eu accès à 20 000 systèmes Fortinet FortiGate dans le monde en exploitant une faille de sécurité critique connue entre 2022 et 2023, ce qui indique que l’opération a eu un impact plus large que prévu.
« L’acteur étatique à l’origine de cette campagne était déjà au courant de cette vulnérabilité dans les systèmes FortiGate au moins deux mois avant que Fortinet ne la divulgue », a déclaré le Centre national néerlandais de cybersécurité (NCSC). dit dans un nouveau bulletin. « Pendant cette période dite zéro jour, l’acteur a infecté à lui seul 14 000 appareils. »
La campagne visait des dizaines de gouvernements occidentaux, des organisations internationales et un grand nombre d’entreprises du secteur de la défense. Les noms des entités n’ont pas été divulgués.
Les conclusions s’appuient sur un avis antérieur de février 2024, qui révélait que les attaquants avaient violé un réseau informatique utilisé par les forces armées néerlandaises en exploitant le CVE-2022-42475 (score CVSS : 9,8), qui permet l’exécution de code à distance.
L’intrusion a ouvert la voie au déploiement d’une porte dérobée nommée COATHANGER à partir d’un serveur contrôlé par des acteurs, conçue pour accorder un accès à distance persistant aux appareils compromis et servir de point de lancement pour davantage de logiciels malveillants.
Le NCSC a déclaré que l’adversaire avait choisi d’installer le logiciel malveillant longtemps après avoir obtenu l’accès initial dans le but de conserver son contrôle sur les appareils, bien qu’il ne soit pas clair combien de victimes ont vu leurs appareils infectés par l’implant.
Ce dernier développement souligne une fois de plus la tendance actuelle des cyberattaques ciblant les appareils de pointe afin de violer les réseaux d’intérêt.
« En raison des défis de sécurité des appareils de pointe, ces appareils sont une cible populaire pour les acteurs malveillants », a déclaré le NCSC. « Les appareils Edge sont situés en bordure du réseau informatique et disposent généralement d’une connexion directe à Internet. De plus, ces appareils ne sont souvent pas pris en charge par les solutions Endpoint Detection and Response (EDR).