Еще прошлой осенью китайские хакеры использовали уязвимость в FortiOS SSL-VPN в качестве 0-day, атаковав европейские госучреждения и неназванного поставщика управляемых услуг (MSP) в Африке. Уязвимость применялась для доставки кастомного вредоноса Boldmove для Linux и Windows.
Специалисты Mandiant рассказали, что злоумышленники эксплуатировали уязвимость CVE-2022-42475, которая представляет собой ошибку переполнения буфера хипа в FortiOS sslvpnd и позволяет добиться на уязвимых устройствах удаленного выполнения кода без аутентификации.
Инженеры Fortinet исправили ошибку 28 ноября 2022 года, без лишней огласки выпустив FortiOS 7.2.3, но тогда они не опубликовали никакой информации о том, что уязвимость представляет собой 0-day и уже используется хакерами. Лишь в декабре Fortinet наконец выпустила бюллетень безопасности FG-IR-22-398, в котором публично предупредила клиентов, что уязвимость активно используется в атаках, и всем следует как можно быстрее установить обновления, чтобы исправить ошибку.
Как теперь сообщают аналитики Mandiant, уязвимость использовалась в атаках с октября 2022 года. Злоумышленники стремились закрепиться на уязвимых устройствах, используя для этого специальную малварь для FortiOS, которая, в числе прочего, вмешивалась в процессов ведения журналов, удаляя определенные записи или полностью отключая ведение логов в FortiOS.
В своем отчете исследователи описывают вредоноса, которому дали имя Boldmove, во всех подробностях. Малварь представляет собой полнофункциональный бэкдор, написанный на C, который позволяет получить контроль над устройством, а Linux-версия вредоноса специально создана для работы на устройствах FortiOS.
Команды, поддерживаемые Boldmove, позволяют удаленно управлять файлами, выполнять команды, создавать интерактивные шеллы и управлять бэкдором. Версии для Windows и Linux в основном одинаковы, но используют разные библиотеки, и в Mandiant считают, что версия для Windows была скомпилирована в 2021 году, почти за год до версии для Linux.
Эксперты обнаружили несколько версий Boldmove, обладающих различными возможностями, но все эти образцы объединял единый набор основных функций:
- осуществление системной слежки;
- получение команд от управляющего сервера;
- создание удаленной оболочки (remote shell) на хосте;
- ретрансляция трафика через взломанное устройство.
Наиболее существенное различие между версиями для Linux и Windows заключается в том, что Linux-вариант обладает функциями, специально ориентированными на устройства FortiOS. К примеру, как уже отмечалось выше, эта версия позволяет изменять журналы Fortinet в скомпрометированной системе или полностью отключать демоны ведения логов (miglogd и syslogd), что затрудняет отслеживание атаки.
Кроме того, эта версия Boldmove способна отправлять запросы внутренним службам Fortinet, что позволяет злоумышленникам отправлять сетевые запросы по всей внутренней сети и распространять заражение на другие устройства.
По словам исследователей, китайские хакеры будут и далее нацеливаться на уязвимые устройства с выходом в интернет, такие как брандмауэры и устройства IPS/ISD, поскольку те предлагают легкий доступ к сети. В Mandiant отмечают, что встроенные защитные механизмы на таких устройствах работают не слишком хорошо.
«Не существует ни механизма обнаружения вредоносных процессов, запущенных на таких устройствах, ни телеметрии для упреждающего поиска малвари, развернутой на них после эксплуатации уязвимостей. Это делает сетевые устройства слепой зоной для ИБ-специалистов и позволяет злоумышленникам незаметно скрываться на них в течение длительного времени, а также использовать такие устройства для закрепления в целевой сети», — резюмируют эксперты.
