Çinli siber casusluk Hollanda Askeri İstihbarat ve Güvenlik Servisi’ne (MIVD) göre grup geçen yıl Hollanda Savunma Bakanlığı’nı ihlal etti ve ele geçirilen cihazlara kötü amaçlı yazılım yerleştirdi.
Ancak saldırıya uğrayan sistemlere arka kapı açılmasına rağmen ağ bölümlenmesi nedeniyle ihlalden kaynaklanan hasar sınırlı kaldı.
“Saldırının etkileri sınırlıydı çünkü kurban ağı daha geniş MOD ağlarından ayrılmıştı” dedi MIVD ve Genel İstihbarat ve Güvenlik Servisi (AIVD) ortak bir raporda.
“Kurban ağının 50’den az kullanıcısı vardı. Amacı, sınıflandırılmamış projelerin araştırma ve geliştirmesini (Ar-Ge) yapmak ve iki üçüncü taraf araştırma enstitüsüyle işbirliği yapmaktı. Bu kuruluşlar olayla ilgili olarak bilgilendirildi.”
RAT kötü amaçlı yazılımı, ürün yazılımı yükseltmelerinden kurtulur
Takip araştırması sırasında, ihlal edilen ağda, Fortigate ağ güvenlik cihazlarını etkilemek için tasarlanmış bir uzaktan erişim truva atı (RAT) olan Coathanger adlı daha önce bilinmeyen bir kötü amaçlı yazılım türü de keşfedildi.
İki Hollandalı kurum, “Özellikle, COATHANGER implantı kalıcıdır ve sistemin yeniden başlatılmasından sorumlu olan süreçte kendi yedeğini enjekte ederek her yeniden başlatmadan sonra iyileşir. Üstelik enfeksiyon, cihaz yazılımı yükseltmelerinden sonra da hayatta kalır,” diye uyardı.
“Dolayısıyla, tamamen yamalı FortiGate cihazları bile, en son yama uygulanmadan önce ele geçirilmişse, virüs bulaşmış olabilir.”
Kötü amaçlı yazılım, varlığının ortaya çıkmasını önlemek için sistem çağrılarını engelleyerek kendini gizleyerek, gizlice ve ısrarla çalışır. Ayrıca sistemin yeniden başlatılması ve ürün yazılımı yükseltmeleri yoluyla da devam eder.
Saldırılar belirli bir tehdit grubuna atfedilmese de, MIVD bu olayı büyük bir güvenle Çin devleti destekli bir bilgisayar korsanlığı grubuyla ilişkilendirdi ve bu kötü niyetli faaliyetin, Hollanda ve müttefiklerini hedef alan daha geniş bir Çin siyasi casusluk modelinin parçası olduğunu ekledi.
FortiGate güvenlik duvarları saldırı altında
Çinli bilgisayar korsanları, CVE-2022-42475 FortiOS SSL-VPN güvenlik açığından yararlanarak ele geçirdikleri savunmasız FortiGate güvenlik duvarlarına siber casusluk amacıyla Coathanger kötü amaçlı yazılımını yerleştirdiler.
Fortinet’in Ocak 2023’te açıkladığı gibi CVE-2022-42475, devlet kurumlarını ve ilgili hedefleri hedef alan saldırılarda sıfır gün olarak da kullanıldı.
Bu saldırılar aynı zamanda yazılım güncellemelerinde hayatta kalabilmek için tasarlanmış siber casusluk kötü amaçlı yazılımları içeren yamalı SonicWall Güvenli Mobil Erişim (SMA) cihazlarını hedef alan başka bir Çin hackleme kampanyasıyla da pek çok benzerliği paylaşıyor.
Benzer saldırı girişimlerini önlemek için kuruluşların, internete bakan tüm (uç) cihazlar için satıcılardan aldıkları güvenlik yamalarını, hazır oldukları anda derhal uygulamaları istenmektedir.
Savunma Bakanı Kajsa Ollongren, “MIVD ilk kez Çinli bilgisayar korsanlarının çalışma yöntemleri hakkında teknik bir raporu kamuoyuna açıklamayı seçti. Çin’in bu tür casusluk faaliyetlerine atfedilmesi önemlidir” dedi.
“Bu şekilde, bu tür siber casusluğa karşı uluslararası dayanıklılığı artırıyoruz.”