Xakep #305. Многошаговые SQL-инъекции
По данным Генеральной службы разведки и безопасности Нидерландов, в прошлом году неназванная китайская кибершпионская группа взломала Министерство обороны страны и установила троян удаленного доступа Coathanger на взломанные устройства.
Власти сообщают, что ущерб от этой атаки был ограничен благодаря сегментации сети, хотя бэкдор и проник в сеть Минобороны.
«В пострадавшей сети насчитывалось менее 50 пользователей. Ее задачей были исследования и разработки (R&D) несекретных проектов и сотрудничество с двумя сторонними исследовательскими институтами. Эти организации уже уведомлены об инциденте», — гласит официальное заявление.
Как уже было сказано выше, в ходе расследования инцидента во взломанной сети был обнаружен ранее неизвестный вредонос Coathanger, который представляет собой троян удаленного доступа (RAT), предназначенный для атак на защитные устройства Fortigate.
«Примечательно, что имплант COATHANGER устойчив и восстанавливается после каждой перезагрузки, внедряя свою резервную копию в процесс, отвечающий за перезагрузку системы. Более того, он выживает даже после обновления прошивки, — предупреждают голландские специалисты. — Поэтому даже полностью пропатченные устройства FortiGate могут быть заражены, если они были взломаны до установки патча».
Известно, что развертывание Coathanger осуществлялось после взлома уязвимых брандмауэров FortiGate, которые хакеры атаковали при помощью уязвимости CVE-2022-42475 в FortiOS SSL-VPN. Напомним, что в начале 2023 года стало известно, что эта проблема использовалась хакерами как 0-day и применялась для атак на правительственные организации и связанные с ними цели.
Хотя эту атаку на Министерство обороны Нидерландов не приписали конкретной хак-группе, в Генеральной службе разведки и безопасности Нидерландов полагают, что за этим инцидентом стоят китайские «правительственные» хакеры, а этот взлом является частью более масштабной кибершпионской операции, направленной на Нидерланды и их союзников.