سرویس اطلاعات و امنیت نظامی هلند (MIVD) امروز هشدار داد که تأثیر یک کمپین جاسوسی سایبری چین که در اوایل سال جاری اتفاق افتاد، بسیار بزرگتر از آنچه که فکر میکردند می باشد.
همانطور که MIVD در ماه فوریه در گزارشی مشترک با سرویس اطلاعات و امنیت عمومی (AIVD) فاش کرد، هکرهای چینی از یک آسیبپذیری حیاتی اجرای کد از راه دور FortiOS/FortiProxy (CVE-2022-42475) طی چند ماه بین سالهای ۲۰۲۲ و ۲۰۲۳ برای استقرار بدافزار در دستگاه های امنیتی شبکه آسیب پذیر Fortigate سوء استفاده کردند.
MIVD گفت: این آسیب پذیری Zero Day 14000 دستگاه را آلوده کرده است. و اهداف آن شامل : سازمان های بین المللی ، تعداد زیادی از شرکت های صنعت دفاعی و… می باشد.
بدافزار Coathanger که یک ابزار دسترسی از راه دور تروجان (RAT) می باشد در این طول فرایند تحقیق و توسعه( R&D ) شناسایی شد. با این حال، به دلیل تقسیم بندی شبکه، مهاجمان از انتقال به سیستم های دیگر مسدود شدند.
MIVD دریافت که این بدافزار توسط یک گروه هکر تحت حمایت دولت چین در یک کمپین جاسوسی سیاسی با هدف قرار دادن هلند و متحدانش به کار گرفته شده است.
MIVD افزود: این بد افزار به هکرها اجازه دسترسی دائمی به سیستم ها را می دهد. حتی اگر قربانی به روز رسانی های امنیتی FortiGate را نصب کند، هکر همچنان این دسترسی را حفظ می کند.
مشخص نیست چه تعداد قربانی گرفتار این بدافزار شده اند. سرویس های اطلاعاتی هلند و NCSC این احتمال را می دهند که هکرها به طور بالقوه می تواند دسترسی خود را به صدها قربانی در سراسر جهان گسترش دهد و اقدامات دیگری مانند سرقت داده ها را انجام دهد.
حداقل ۲۰۰۰۰ سیستم Fortigate نقض شده است
از فوریه، سرویس اطلاعات نظامی هلند کشف کرده است که گروه تهدید چینی در سالهای ۲۰۲۲ و ۲۰۲۳ به حداقل ۲۰۰۰۰ سیستم فورتی گیت در سراسر جهان در طی چند ماه دسترسی پیدا کرده است، حداقل دو ماه قبل از اینکه Fortinet آسیبپذیری CVE-2022-42475 را فاش کند.
MIVD بر این باور است که هکرهای چینی هنوز به قربانیان زیادی دسترسی دارند زیرا بدافزار Coathanger به سختی قابل شناسایی و همچنین حذف آن به شدت سخت می باشد.
همانطور که Fortinet در ژانویه ۲۰۲۳ فاش کرد، CVE-2022-42475 نیز به عنوان یک Zero Day برای هدف قرار دادن سازمان های دولتی و نهادهای مرتبط مورد سوء استفاده قرار گرفت.