Çin’in desteklediği devlet destekli tehdit aktörleri, 2022 ile 2023 yılları arasında bilinen bir kritik güvenlik açığından yararlanarak dünya çapında 20.000 Fortinet FortiGate sistemine erişim elde etti; bu da operasyonun önceden bilinenden daha geniş bir etkiye sahip olduğunu gösteriyor.
Hollanda Ulusal Siber Güvenlik Merkezi (NCSC) yeni bir bültende, “Bu kampanyanın arkasındaki devlet aktörü, Fortinet’in bu güvenlik açığını açıklamasından en az iki ay önce FortiGate sistemlerindeki bu güvenlik açığından zaten haberdardı” dedi. “Bu sözde sıfır gün döneminde, aktör tek başına 14.000 cihaza virüs bulaştırdı.”
Kampanya, onlarca Batılı hükümeti, uluslararası kuruluşu ve savunma sanayisinde faaliyet gösteren çok sayıda şirketi hedef aldı. Kuruluşların isimleri açıklanmadı.
Bulgular, saldırganların uzaktan kod yürütülmesine izin veren CVE-2022-42475’i (CVSS puanı: 9,8) kullanarak Hollanda silahlı kuvvetleri tarafından kullanılan bir bilgisayar ağını ihlal ettiğini tespit eden Şubat 2024 tarihli daha önceki bir tavsiye belgesine dayanıyor.
İzinsiz giriş, ele geçirilen cihazlara kalıcı uzaktan erişim sağlamak ve daha fazla kötü amaçlı yazılım için bir başlangıç noktası görevi görmek üzere tasarlanmış, aktör kontrollü bir sunucudan COATHANGER kod adlı bir arka kapının konuşlandırılmasının yolunu açtı.
NCSC, saldırganın cihazlar üzerindeki kontrolünü sürdürmek amacıyla ilk erişim elde ettikten uzun süre sonra kötü amaçlı yazılım yüklemeyi seçtiğini ancak kaç kurbanın cihazlarına implant bulaştığının net olmadığını söyledi.
En son gelişme, ilgi ağlarını ihlal etmek amacıyla uç cihazları hedef alan siber saldırıların süregelen eğilimini bir kez daha vurguluyor.
NCSC, “Son cihazların güvenlik sorunları nedeniyle, bu cihazlar kötü niyetli aktörler için popüler bir hedeftir” dedi. “Edge cihazları BT ağının ucunda yer alıyor ve düzenli olarak internete doğrudan bağlantıya sahip. Ayrıca bu cihazlar genellikle Uç Nokta Tespit ve Yanıt (EDR) çözümleri tarafından desteklenmiyor.”