Siber Savaş / Ulus-Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suçlar
Pekin Truva Atını Yüklemek İçin FortiGate Güvenlik Açıkını Kullandı
Akşaya Asokan (asokan_akshaya) •
6 Şubat 2024
Hollanda istihbarat teşkilatlarının Salı günü yaptığı açıklamaya göre, Çinli casusluk korsanları, erişim elde etmek için Fortinet sanal özel ağında sıfır gün açığını kullanarak 2023’ün başlarında Hollanda askeri sistemlerine sızdı.
Ayrıca bakınız: İsteğe Bağlı Panel | Operasyonel Mükemmelliği Güvenceye Alma: CISO’ları Engelleme 5 En Önemli Güvenlik Sorunu
Ajanslar, etkilerin, iki üçüncü taraf enstitü ile sınıflandırılmamış araştırma ve geliştirme üzerinde çalışan 50’den az kullanıcının bulunduğu bölümlenmiş bir ağla sınırlı olduğunu söyledi.
Askeri İstihbarat ve Güvenlik Servisi ile Genel İstihbarat ve Güvenlik Servisi, hack olayını büyük bir güvenle Çin devlet aktörlerine bağladı. Tehdit aktörü ağda keşif gerçekleştirdi ve Active Directory sunucusundan kullanıcı hesaplarının bir listesini çaldı.
Bilgisayar korsanlarının kalıcılık elde etmek için kullandığı kötü amaçlı yazılım (sistem yeniden başlatmalarından ve cihaz yazılımı yükseltmelerinden sağ çıkıyor) FortiGate cihazları için özel olarak tasarlanmış gibi görünüyor; sanal özel ağ cihazlarının Aralık 2022’de yamalı bir sıfır gün içerdiği tespit edildi. Araştırmacılar, muhtemelen Çinli bilgisayar korsanlarının CVE-2022-42475 olarak takip edilen kusurdan yararlandığı konusunda uyarmıştı; ancak Hollanda’nın tavsiyesi, doğrudan Pekin’e bağlanan ilk kamuya açık onay gibi görünüyor (bkz.: Fortinet VPN Kusuru Güvenlik Cihazlarının Tuzaklarını Gösteriyor).
2022 Hollanda istihbaratının yıllık tehdit değerlendirmesi, Çin’i “Hollanda’nın ekonomik güvenliğine yönelik en büyük tehdit” olarak adlandırıyor. Sadece birkaç gün önce ABD yetkilileri, kritik altyapıyı hedeflemek için kullanılan Çin kontrolündeki bir botnet’i kesintiye uğrattıklarını söyledi (bkz: FBI Çin’in Büyük Bir Hackleme Kampanyasını Nasıl Durdurdu?).
Ajanslar, Çin’in Hollanda sistemine sızmasının muhtemelen fırsatçı olduğunu yazdı ve Çin bilgisayar korsanlarının seçilmiş kurbanlara ısmarlama arka kapılarını sunarken hassas uç cihazları bulmak için geniş ölçekte tarama yaptığını belirtti.
Hollandalı NCSC, “Çinli tehdit aktörlerinin internete bakan uç cihazlarda geniş ve fırsatçı tarama kampanyaları gerçekleştirdiği biliniyor.” dedi. “Bunu yüksek bir operasyonel tempoyla yapıyorlar, bazen yayınlandıkları gün güvenlik açıklarını kötüye kullanıyorlar.”
Ajanslar, “kötü amaçlı yazılımın diskteki yapılandırmayı şifrelemek için kullandığı özel ifadeyi bulduktan sonra arka kapıya “Coathanger” adını verdiler: ‘Ceketini aldı ve astı.'”
Coathanger, sistemin yeniden başlatılmasından sorumlu sürece kendisinin bir yedeğini enjekte ettiğinden, Fortinet bir yama geliştirmeden önce bilgisayar korsanlarının bu cihazları ihlal etmesi durumunda tamamen yama uygulanmış FortiGate cihazlarına bile virüs bulaşabilir. Ajanslar, Coathanger’ı virüs bulaşmış bir sistemden kovmanın, sistemin yeniden biçimlendirilmesi, yeniden kurulması ve yeniden yapılandırılması gerektiğini söylüyor.
Coathanger, tehdit istihbarat firması Mandiant’taki araştırmacılar tarafından tespit edilen eşzamanlı bir arka kapıdan farklıdır.
Hollanda istihbaratı, teşkilatların, daha önce kimliği belirsiz bir Batılı diplomatik temsilcinin ağına yerleştirilmiş olan Coathanger arka kapısının “ve bir avuç başka kurbanın” ağında bulunduğunu bulduğunu söyledi.
Hollanda Ortak Sinyal Siber Birimi, GitHub sayfasında uzlaşma göstergelerini yayınladı.