Спонсируемые государством злоумышленники, поддерживаемые Китаем, получили доступ к 20 000 системам Fortinet FortiGate по всему миру, используя известную критическую уязвимость в системе безопасности в период с 2022 по 2023 год, что указывает на то, что операция оказала более широкое воздействие, чем считалось ранее.
"Государственный деятель, стоящий за этой кампанией, уже знал об этой уязвимости в системах FortiGate по крайней мере за два месяца до того, как Fortinet раскрыла уязвимость", - сказал в новом бюллетене Голландский национальный центр кибербезопасности (NCSC). "В течение этого так называемого периода нулевого дня только злоумышленник заразил 14 000 устройств".
Кампания была нацелена на десятки западных правительств, международные организации и большое количество компаний оборонной промышленности. Названия организаций не разглашаются.
Выводы основаны на более ранней рекомендации от февраля 2024 года, в которой было установлено, что злоумышленники взломали компьютерную сеть, используемую вооруженными силами Нидерландов, используя CVE-2022-42475 (оценка CVSS: 9,8), которая позволяет выполнять код удаленно.
Вторжение проложило путь для развертывания бэкдора под кодовым названием COATHANGER с сервера, контролируемого участниками, который предназначен для предоставления постоянного удаленного доступа к скомпрометированным устройствам и служит отправной точкой для новых вредоносных программ.
NCSC заявила, что злоумышленник решил установить вредоносное ПО спустя долгое время после получения первоначального доступа в попытке сохранить свой контроль над устройствами, хотя неясно, у скольких жертв их устройства были заражены имплантатом.
Последняя разработка еще раз подчеркивает сохраняющуюся тенденцию кибератак на периферийные устройства с целью взлома интересующих сетей.
"Из-за проблем с безопасностью периферийных устройств эти устройства являются популярной мишенью для злоумышленников", - заявили в NCSC. "Периферийные устройства расположены на границе ИТ-сети и регулярно имеют прямое подключение к Интернету. Кроме того, эти устройства часто не поддерживаются решениями для обнаружения конечных точек и реагирования (EDR)".
"Государственный деятель, стоящий за этой кампанией, уже знал об этой уязвимости в системах FortiGate по крайней мере за два месяца до того, как Fortinet раскрыла уязвимость", - сказал в новом бюллетене Голландский национальный центр кибербезопасности (NCSC). "В течение этого так называемого периода нулевого дня только злоумышленник заразил 14 000 устройств".
Кампания была нацелена на десятки западных правительств, международные организации и большое количество компаний оборонной промышленности. Названия организаций не разглашаются.
Выводы основаны на более ранней рекомендации от февраля 2024 года, в которой было установлено, что злоумышленники взломали компьютерную сеть, используемую вооруженными силами Нидерландов, используя CVE-2022-42475 (оценка CVSS: 9,8), которая позволяет выполнять код удаленно.
Вторжение проложило путь для развертывания бэкдора под кодовым названием COATHANGER с сервера, контролируемого участниками, который предназначен для предоставления постоянного удаленного доступа к скомпрометированным устройствам и служит отправной точкой для новых вредоносных программ.
NCSC заявила, что злоумышленник решил установить вредоносное ПО спустя долгое время после получения первоначального доступа в попытке сохранить свой контроль над устройствами, хотя неясно, у скольких жертв их устройства были заражены имплантатом.
Последняя разработка еще раз подчеркивает сохраняющуюся тенденцию кибератак на периферийные устройства с целью взлома интересующих сетей.
"Из-за проблем с безопасностью периферийных устройств эти устройства являются популярной мишенью для злоумышленников", - заявили в NCSC. "Периферийные устройства расположены на границе ИТ-сети и регулярно имеют прямое подключение к Интернету. Кроме того, эти устройства часто не поддерживаются решениями для обнаружения конечных точек и реагирования (EDR)".
