U značajnom događaju sajber sigurnosti, hakeri koje je sponzorisala kineska država iskoristili su ranjivost na Fortinet-ovim FortiGate uređajima kako bi se infiltrirali u holandsku vojnu mrežu. Ova mreža, ključna za neklasifikovano istraživanje i razvoj, bila je ugrožena bez nanošenja štete široj odbrambenoj mreži zbog svoje izolovane prirode.
Zaronimo u detalje
- Proboj je orkestriran korištenjem kritične greške u FortiOS SSL-VPN-u, identifikovane kao CVE-2022-42475, omogućavajući napadačima da izvrše proizvoljni kod putem posebno kreiranih zahtjeva.
- Ova ranjivost je olakšala implementaciju Coathanger-a, prikrivenog i postojanog malvera u pozadini, dizajniranog za daljinski pristup, izbjegavanje otkrivanja i postojanost tokom ponovnog pokretanja uređaja i ažuriranja firmvera.
Malo o Coathangeru
Upotreba Coathanger malvera, nazvanog po isječku koda koji upućuje na “Jagnje za klanje” Roalda Dahla, naglašava prikrivenost malvera i stratešku dubinu preduzetih aktivnosti sajber špijunaže.
- Malver prikriva svoje aktivnosti presretanjem sistemskih funkcija koje bi ga mogle razotkriti. Dizajniran je da ostane u funkciji kroz ponovno pokretanje sistema i ažuriranje firmvera.
- Prema procjenama MIVD-a i AIVD-a, čini se da je raspoređivanje Coathanger-a vrlo selektivno. Operateri koji stoje iza ovog malvera sistematski traže i kompromituju ranjive uređaje perimetra mreže.
- Za određene ciljeve za koje se smatra da su od velikog interesa, Coathanger se tada koristi kao diskretna metoda za održavanje komunikacije.
Zaključak
Ovaj incident označava prvo javno pripisivanje kampanje sajber špijunaže u Holandiji Kini, bacajući svjetlo na složenost digitalne špijunaže i ranjivosti unutar kritične infrastrukture sajber sigurnosti. Organizacije se pozivaju da poboljšaju svoje mjere kibernetičke sigurnosti primjenom pravovremenih ažuriranja i zakrpa, provođenjem redovnih sigurnosnih procjena, poboljšanjem mogućnosti otkrivanja prikrivenog malvera kao što je Coathanger i primjenom strogih mjera kontrole pristupa za zaštitu od sofisticiranih sajber prijetnji koje sponzoriše država.
Izvor: Cyware Alerts – Hacker News