Çin devleti destekli bilgisayar korsanları, geçen yıl Hollanda Savunma Bakanlığı’na (MOD) saldırdı ve arka kapı görevi görecek yeni bir uzaktan erişim truva atı (RAT) kötü amaçlı yazılımı kullandı.
Hollanda Askeri İstihbarat ve Güvenlik Servisi (MIVD) ve Genel İstihbarat ve Güvenlik Servisi (AIVD), “Kurban ağının daha geniş MOD ağlarından bölümlere ayrılması nedeniyle izinsiz girişin etkileri sınırlıydı” dedi.
Yeni bir RAT
Geçen yıl MOD’un Newtork’una yapılan bir izinsiz giriş araştırması sırasında MIVD ve AIVD, Coathanger adını verdikleri daha önce bilinmeyen bir kötü amaçlı yazılımı ortaya çıkardı.
MIVD ve AIVD güvenlik danışma belgesinde şöyle açıkladı: “Ad, kötü amaçlı yazılımın diskteki yapılandırmayı şifrelemek için kullandığı tuhaf ifadeden türetilmiştir: ‘Ceketini aldı ve astı’.”
Coathanger, Fortinet’in FortiGate cihazları için özel olarak tasarlanmış bir uzaktan erişim truva atıdır (RAT). Son derece kalıcı bir ikinci aşama kötü amaçlı yazılımdır: Sistemin yeniden başlatılmasından sorumlu süreçte kendisinin bir yedeğinin yanı sıra ürün yazılımı yükseltmeleri enjekte ederek yeniden başlatmalardan sağ çıkabilir (yani: güvenlik ihlali daha önce gerçekleşmişse, tamamen yamalı FortiGate cihazlarına da bulaşabilir) yamayı aldılar).
“Dahası, Coathanger gizlidir: Varsayılan FortiGate CLI komutlarını kullanarak tespit edilmesi zordur çünkü varlığını ortaya çıkarabilecek çoğu sistem çağrısını bağlayarak kendini gizler” dediler.
Bu özel olayda, bilgisayar korsanları, FortiOS’un kritik kimlik doğrulama öncesi RCE güvenlik açığını (CVE-2022-42475) kullanarak FortiGate cihazlarına ilk erişimi elde etti, Coathanger’ı indirdi, ağda keşif gerçekleştirdi ve kullanıcı hesaplarının bir listesini çalmayı başardı. Aktif Dizin sunucusu.
Defans oyuncuları için tavsiyeler
“Bu olay CVE-2022-42475’in kötüye kullanılmasıyla başlamış olsa da, Coathanger kötü amaçlı yazılımının FortiGate cihazlarındaki mevcut veya gelecekteki herhangi bir yazılım güvenlik açığıyla birlikte kullanılabileceği düşünülebilir” dediler.
MIVD ve AIVD, MOD’a izinsiz girişin ve kötü amaçlı yazılımın yaratılmasının Çin Halk Cumhuriyeti devlet destekli bir tehdit aktörüne atfedilebileceğini “yüksek bir güvenle” belirtti.
“Bu olay tek başına geçerli değil, ancak Çin’in Hollanda ve müttefiklerine karşı yürüttüğü daha geniş siyasi casusluk eğiliminin bir parçası” diye eklediler.
Ayrıca bu olay, devlet destekli bilgisayar korsanlarının internete bakan uç cihazlardaki güvenlik açıklarından yararlandığı yönündeki daha geniş bir eğilimle de örtüşüyor.
MIVD ve AIVD, FortiGate cihazlarını kullanan kuruluşlar için hafifletme ve koruma tavsiye yöntemleri sağladı ve internete bakan uç cihazlara sahip tüm kuruluşlara şunları yapmaları çağrısında bulundu:
- Güvenlik güncellemelerini hızla uygulayın
- Gereksiz özellikleri devre dışı bırakın
- Gereksiz hizmetleri, bağlantı noktalarını ve internetten yönetim arayüzüne erişimi devre dışı bırakarak bunlara erişimi kısıtlayın
- Anormal aktivite için olay günlüklerini izleyin.