Çin devleti destekli bilgisayar korsanları, Fortinet FortiGate cihazlarını hedef alarak Hollanda silahlı kuvvetleri tarafından kullanılan bir bilgisayar ağına sızdı.
“Bu [computer network] Hollanda Askeri İstihbarat ve Güvenlik Servisi (MIVD) yaptığı açıklamada, “sınıflandırılmamış araştırma ve geliştirme (Ar-Ge) için kullanıldı” dedi. “Bu sistem kendi kendine yettiği için savunma ağına herhangi bir zarar vermedi.” ağda 50’den az kullanıcı vardı.
2023 yılında gerçekleşen saldırı, FortiOS SSL-VPN’deki (CVE-2022-42475, CVSS puanı: 9,3) kimliği doğrulanmamış bir saldırganın özel hazırlanmış istekler yoluyla rastgele kod yürütmesine olanak tanıyan bilinen bir kritik güvenlik açığından yararlandı.
Kusurun başarılı bir şekilde kullanılması, güvenliği ihlal edilmiş cihazlara kalıcı uzaktan erişim sağlamak üzere tasarlanmış, aktör kontrollü bir sunucudan COATHANGER adlı bir arka kapının konuşlandırılmasının yolunu açtı.
Hollanda Ulusal Siber Güvenlik Merkezi (NCSC), “COATHANGER kötü amaçlı yazılımının gizli ve kalıcı olduğunu” söyledi. “Varlığını ortaya çıkarabilecek sistem çağrılarına bağlanarak kendini gizler. Yeniden başlatmalardan ve donanım yazılımı yükseltmelerinden sağ kurtulur.”
COATHANGER, bir Avrupa devlet kuruluşunu ve Afrika’da bulunan bir yönetilen hizmet sağlayıcıyı (MSP) hedef alan saldırılarda CVE-2022-42475’i sıfır gün olarak kullandığı bilinen Çin merkezli şüpheli bir tehdit aktörüne bağlı başka bir arka kapı olan BOLDMOVE’dan farklıdır. Ekim 2022 gibi erken bir tarihte.
Bu gelişme, Hollanda’nın bir siber casusluk kampanyasını Çin’e alenen ilk kez atfetmesi anlamına geliyor. Hikayeyi yayınlayan Reuters, kötü amaçlı yazılımın adını İngiliz yazar Roald Dahl’ın kısa öyküsü olan Lamb to the Slaughter’dan bir satır içeren bir kod parçacığından aldığını söyledi.
Ayrıca, ABD yetkililerinin, kötü amaçlı trafiğin kökenlerini gizlemek için Volt Typhoon gibi Çinli tehdit aktörleri tarafından kullanılan, güncelliğini kaybetmiş Cisco ve NetGear yönlendiricilerinden oluşan bir botnet’i ortadan kaldırmak için adımlar atmasından günler sonra da geldi.
Geçtiğimiz yıl, Google’ın sahibi olduğu Mandiant, UNC3886 olarak takip edilen Çin bağlantılı bir siber casusluk grubunun, uzak bir sunucudan alınan rastgele komutları yürütmek ve hassas verileri sızdırmak amacıyla THINCRUST ve CASTLETAP implantlarını dağıtmak için Fortinet cihazlarındaki sıfır günleri istismar ettiğini ortaya çıkardı.