Hollanda Askeri İstihbarat ve Güvenlik Servisi (MIVD), bugün Çin’in bu yılın başlarında açıklanan siber casusluk kampanyasının etkisinin “önceden bilinenden çok daha büyük” olduğu konusunda uyardı.
MIVD’nin Şubat ayında Genel İstihbarat ve Güvenlik Servisi (AIVD) ile ortak bir raporda açıkladığı gibi, Çinli bilgisayar korsanları, 2022 ile 2023 yılları arasında birkaç ay boyunca kritik bir FortiOS/FortiProxy uzaktan kod yürütme güvenlik açığından (CVE-2022-42475) yararlanarak dağıtım gerçekleştirdi. Savunmasız Fortigate ağ güvenliği cihazlarındaki kötü amaçlı yazılım.
MIVD, “Bu sözde ‘sıfır gün’ döneminde, aktör yalnızca 14.000 cihaza virüs bulaştırdı. Hedefler arasında düzinelerce (Batılı) hükümet, uluslararası kuruluş ve çok sayıda savunma sanayi şirketi yer alıyor.” dedi.
Saldırılarda kullanılan Coathanger uzaktan erişim truva atı (RAT) kötü amaçlı yazılımı, sınıflandırılmamış projelerin araştırma ve geliştirmesinde (Ar-Ge) kullanılan Hollanda Savunma Bakanlığı ağında da bulundu. Yine de ağ segmentasyonu nedeniyle saldırganların diğer sistemlere geçmesi engellendi.
MIVD, sistemin yeniden başlatılmasından ve ürün yazılımı yükseltmelerinden sağ çıkabilen, daha önce bilinmeyen bu kötü amaçlı yazılım türünün, Çin devleti destekli bir bilgisayar korsanlığı grubu tarafından Hollanda ve müttefiklerini hedef alan bir siyasi casusluk kampanyasında kullanıldığını tespit etti.
MIVD, “Bu, devlet aktörüne sistemlere kalıcı erişim sağladı. Bir kurban FortiGate’ten güvenlik güncellemeleri yüklese bile, devlet aktörü bu erişimi sürdürmeye devam ediyor” diye ekledi.
“Gerçekte kaç kurbanın kötü amaçlı yazılım yüklediği bilinmiyor. Hollanda istihbarat servisleri ve NCSC, devlet aktörünün potansiyel olarak dünya çapında yüzlerce kurbana erişimini genişletebileceğini ve veri çalmak gibi ek eylemler gerçekleştirebileceğini düşünüyor.”
En az 20.000 Fortigate sistemi ihlal edildi
Şubat ayından bu yana Hollanda askeri istihbarat servisi, Çinli tehdit grubunun 2022 ve 2023 yıllarında dünya çapında en az 20.000 FortiGate sistemine erişim elde ettiğini keşfetti; bu, Fortinet’in CVE-2022-42475 güvenlik açığını açıklamasından en az iki ay önceydi. .
MIVD, Çinli bilgisayar korsanlarının hala birçok kurbana erişebildiğine inanıyor çünkü Coathanger kötü amaçlı yazılımının varlığının açığa çıkmasını önlemek için sistem çağrılarına müdahale etmesi nedeniyle tespit edilmesi zor ve aynı zamanda donanım yazılımı yükseltmelerinden sağ kurtulduğu için kaldırılması da zor.
Fortinet’in Ocak 2023’te açıkladığı gibi CVE-2022-42475, devlet kurumlarını ve ilgili kuruluşları hedef almak için sıfır gün olarak da kullanıldı.
Bu saldırılar, ürün yazılımı yükseltmelerine dayanacak şekilde tasarlanmış siber casusluk kötü amaçlı yazılımları içeren yama yapılmamış SonicWall Güvenli Mobil Erişim (SMA) cihazlarını hedef alan başka bir Çin hackleme kampanyasıyla birçok benzerlik taşıyor.