Китайские хакеры атакуют НАТО: взломана сеть армии Нидерландов

Китайские правительственные хакеры взломали компьютерную сеть вооруженных сил Нидерландов, используя уязвимость в устройствах Fortinet FortiGate.

Согласно заявлению Службы военной разведки и безопасности Нидерландов (MIVD), затронутая компьютерная сеть использовалась для несекретных исследований и разработок (НИОКР). Поскольку система была автономной, она не привела к какому-либо повреждению защитной сети. В сети было менее 50 пользователей.

В ходе взлома, который произошел в 2023 году, злоумышленники эксплуатировали критическую уязвимость FortiOS SSL VPN ( CVE-2022-42475 , оценка CVSS: 9.8), которая позволяет неаутентифицированному атакующему выполнять произвольный код посредством специально созданных запросов.

Успешная эксплуатация уязвимости проложила путь к развертыванию бэкдора под названием COATHANGER с С2-сервера хакера , предназначенного для предоставления постоянного удаленного доступа к скомпрометированным устройствам.

В Национальном центре кибербезопасности Нидерландов объяснили, что вредоносная программа COATHANGER «скрытна и устойчива». COATHANGER скрывается, перехватывая системные вызовы, которые могут раскрыть его присутствие. Программа остаётся в системе даже после обновления или перезагрузки.

Стоит отметить, что упомянутый недостаток эксплуатировался ещё в октябре 2022 года в шпионских кампаниях китайских хакеров, направленных на правительственные сети Европы. Тогда уязвимость использовалась для доставки бэкдора BOLDMOVE, который был специально разработан для работы на межсетевых экранах Fortinet FortiGate.

MIVD с «высокой степенью уверенности» приписывает хакерские атаки и вредоносное ПО деятельности политическим хакерам из Китая. Указывается, что вредоносное ПО было обнаружено также в сетях западной международной миссии и нескольких других организаций. По мнению разведчиков Нидерландов, вирус разрабатывался специально для сетевых экранов FortiGate. Инцидент знаменует собой первый случай, когда Нидерланды публично приписывают Китаю кампанию кибер шпионажа .

Сетевые устройства Fortinet

По данным Mandiant, устройства для выхода в Интернет (от англ. «internet-facing devices»), такие как брандмауэры, устройства IPS и IDS, являются привлекательными целями для атак кибербандитов.

Во-первых, у них есть доступ к Интернету. Значит, при наличии нужного эксплойта, доступ в сеть может быть обеспечен без какого-либо взаимодействия с жертвой, что позволяет злоумышленнику чётко контролировать время операции и снизить шансы на обнаружение.

Во-вторых, сетевые устройства хоть и предназначены для проверки сетевого трафика, поиска аномалий, а также признаков злонамеренного поведения, но зачастую сами уязвимы для атак хакеров.

Эксплойты для компрометации таких устройств сложно разрабатывать, поэтому они часто используются против высокоприоритетных целей — в государственном и оборонном секторах.

По словам Mandiant, пока не существует механизмов для обнаружения вредоносных процессов, запущенных на подобных сетевых устройствах, что делает сетевые устройства слепой зоной для специалистов по безопасности и позволяет злоумышленникам прятаться в них, сохраняя скрытность в течение длительного времени. А также использовать их, чтобы закрепиться в целевой сети.