Çin devleti destekli bilgisayar korsanları, Hollanda savunma ağlarına yetkisiz erişim sağlamak için Fortinet’in sanal özel ağındaki sıfır gün güvenlik açığından (CVE-2022-42475) yararlandı. Bilgisayar korsanları daha sonra kalıcılığı sağlamak için gelişmiş bir araç olan COATHANGER kötü amaçlı yazılımını kullandı.
Hollanda Savunma Bakanlığı, geçen yıl iç bilgisayar ağının bilgisayar korsanları tarafından ihlal edildiğini bildirdi. İhlalin niteliği ve kapsamı henüz açıklanmadı.
Trustifi’nin Gelişmiş tehdit koruması, en geniş yelpazedeki karmaşık saldırıları, kullanıcının posta kutusuna ulaşmadan önce önler. Gelişmiş Yapay Zeka Destekli E-posta Koruması ile Trustifi Ücretsiz Tehdit Taramasını deneyin.
Ücretsiz Tehdit Taraması Çalıştırın
Askeri İstihbarat ve Güvenlik Servisi ile Genel İstihbarat ve Güvenlik Servisi’ne göre, hack olayının Çin devlet aktörleri tarafından gerçekleştirildiği kesindir. Tehdit aktörü ağ gözetimi gerçekleştirdi ve Active Directory sunucusundan kullanıcı hesaplarının bir listesini aldı.
Fortinet, Aralık 2022’de kritik bir uyarı yayınladı ve sıfır gün güvenlik açığının “gelişmiş bir aktör” tarafından “hükümet veya hükümetle ilgili hedeflere” yönelik saldırılarda istismar edildiği konusunda uyarıda bulundu.
Askeri İstihbarat ve Güvenlik Servisi (MIVD) ve Genel İstihbarat ve Güvenlik Servisi (AIVD), kötü niyetli faaliyetin Çin Halk Cumhuriyeti’ndeki devlet destekli bir kuruluş tarafından yüksek düzeyde güven ile gerçekleştirildiğini belirten bir değerlendirme gerçekleştirdi. .
FortiGate Cihazlarına Kötü Amaçlı Yazılım Dağıtıldı
İlk aşamada, Çin’den gelen bilgisayar korsanları, tarama yoluyla internete yönelik 0 günlük güvenlik açıklarına sahip cihazları aradı.
Bilgisayar korsanları, COATHANGER kötü amaçlı yazılımını dağıtmak için bu güvenlik açığından yararlandı ve bu da kurban ağında kalıcılık oluşturmalarına olanak sağladı.
Kötü amaçlı yazılım, kalıcı bir bağlantı kurulmasına yardımcı olur ve her yeniden başlatmanın ardından ve hatta ürün yazılımı yükseltmesinin ardından kurtarılabilir.
İzinsiz girişin ardından saldırgan, Ar-Ge ağını izledi ve Active Directory sunucusundan kullanıcı hesaplarının bir listesini çaldı.
Savunma Bakanı Kajsa Ollongren şunları söyledi: “MIVD ilk kez Çinli bilgisayar korsanlarının çalışma yöntemlerine ilişkin teknik bir raporu kamuoyuna açıklamayı seçti. Çin’in bu tür casusluk faaliyetlerine atfedilmesi önemlidir. Bu şekilde bu tür siber casusluğa karşı uluslararası dayanıklılığı artırıyoruz.”
Hollanda’nın Ortak Sinyal Siber Birimi, raporda uzlaşma göstergelerinin bir listesini paylaştı.
ABD’li yetkililer, kötü niyetli trafik kaynaklarını gizlemek için Volt Typhoon gibi Çinli tehdit aktörleri tarafından kullanılan eski Cisco ve NetGear yönlendiricilerinden oluşan bir botnet’i çökertti.