Китайские хакеры, поддерживаемые государством, взломали компьютерную сеть, используемую вооруженными силами Нидерландов, нацелившись на устройства FortiGate от Fortinet.
"Эта [компьютерная сеть] использовалась для несекретных исследований и разработок (R & D)", - говорится в заявлении Службы военной разведки и безопасности Нидерландов (MIVD). "Поскольку эта система была автономной, это не привело к какому-либо повреждению оборонной сети". В сети было менее 50 пользователей.
Вторжение, произошедшее в 2023 году, использовало известную критическую уязвимость безопасности в FortiOS SSL-VPN (CVE-2022-42475, оценка CVSS: 9.3), которая позволяет злоумышленнику, не прошедшему проверку подлинности, выполнять произвольный код с помощью специально созданных запросов.
Успешное использование уязвимости проложило путь к развертыванию бэкдора, получившего название COATHANGER, с сервера, контролируемого участниками, который предназначен для предоставления постоянного удаленного доступа к скомпрометированным устройствам.
"Вредоносное ПО COATHANGER является скрытым и постоянным", - заявили в Национальном центре кибербезопасности Нидерландов (NCSC). "Оно скрывается, перехватывая системные вызовы, которые могут выявить его присутствие. Он выдерживает перезагрузки и обновления прошивки."
COATHANGER отличается от BOLDMOVE, другого бэкдора, связанного с предполагаемым китайским злоумышленником, который, как известно, использовал CVE-2022-42475 в качестве нулевого дня при атаках на европейскую правительственную организацию и поставщика управляемых услуг (MSP), расположенного в Африке, еще в октябре 2022 года.
Эта разработка знаменует собой первый случай, когда Нидерланды публично приписали кампанию кибершпионажа Китаю. Агентство Reuters, которое обнародовало эту историю, сообщило, что вредоносная программа названа в честь фрагмента кода, содержащего строку из рассказа британского писателя Роальда Даля "Агнец на заклание".
Это также произошло через несколько дней после того, как власти США предприняли шаги по демонтажу ботнета, состоящего из устаревших маршрутизаторов Cisco и NetGear, которые использовались китайскими злоумышленниками, такими как Volt Typhoon, для сокрытия источников вредоносного трафика.
В прошлом году компания Mandiant, принадлежащая Google, раскрыла, что группа кибершпионажа China-nexus, отслеживаемая как UNC3886, использовала нулевые дни в устройствах Fortinet для развертывания имплантатов THINCRUST и CASTLETAP для выполнения произвольных команд, полученных с удаленного сервера, и извлечения конфиденциальных данных.
"Эта [компьютерная сеть] использовалась для несекретных исследований и разработок (R & D)", - говорится в заявлении Службы военной разведки и безопасности Нидерландов (MIVD). "Поскольку эта система была автономной, это не привело к какому-либо повреждению оборонной сети". В сети было менее 50 пользователей.
Вторжение, произошедшее в 2023 году, использовало известную критическую уязвимость безопасности в FortiOS SSL-VPN (CVE-2022-42475, оценка CVSS: 9.3), которая позволяет злоумышленнику, не прошедшему проверку подлинности, выполнять произвольный код с помощью специально созданных запросов.
Успешное использование уязвимости проложило путь к развертыванию бэкдора, получившего название COATHANGER, с сервера, контролируемого участниками, который предназначен для предоставления постоянного удаленного доступа к скомпрометированным устройствам.
"Вредоносное ПО COATHANGER является скрытым и постоянным", - заявили в Национальном центре кибербезопасности Нидерландов (NCSC). "Оно скрывается, перехватывая системные вызовы, которые могут выявить его присутствие. Он выдерживает перезагрузки и обновления прошивки."
COATHANGER отличается от BOLDMOVE, другого бэкдора, связанного с предполагаемым китайским злоумышленником, который, как известно, использовал CVE-2022-42475 в качестве нулевого дня при атаках на европейскую правительственную организацию и поставщика управляемых услуг (MSP), расположенного в Африке, еще в октябре 2022 года.
Эта разработка знаменует собой первый случай, когда Нидерланды публично приписали кампанию кибершпионажа Китаю. Агентство Reuters, которое обнародовало эту историю, сообщило, что вредоносная программа названа в честь фрагмента кода, содержащего строку из рассказа британского писателя Роальда Даля "Агнец на заклание".
Это также произошло через несколько дней после того, как власти США предприняли шаги по демонтажу ботнета, состоящего из устаревших маршрутизаторов Cisco и NetGear, которые использовались китайскими злоумышленниками, такими как Volt Typhoon, для сокрытия источников вредоносного трафика.
В прошлом году компания Mandiant, принадлежащая Google, раскрыла, что группа кибершпионажа China-nexus, отслеживаемая как UNC3886, использовала нулевые дни в устройствах Fortinet для развертывания имплантатов THINCRUST и CASTLETAP для выполнения произвольных команд, полученных с удаленного сервера, и извлечения конфиденциальных данных.
