Голландская служба военной разведки и безопасности (MIVD) предупредила, что последствия китайской кибершпионской кампании, раскрытой ранее в этом году, оказались «гораздо масштабнее», чем предполагалось изначально. В период с 2022 по 2023 год хакеры взломали 20 000 системам Fortinet FortiGate по всему миру, воспользовавшись критической уязвимостью.
В феврале 2024 года MIVD, совместно с Генеральной службой разведки и безопасности Нидерландов (AIVD) опубликовали отчет, согласно которому китайские хакеры эксплуатировали критическую RCE-уязвимость в FortiOS/FortiProxy (CVE-2022-42475) в течение нескольких месяцев в 2022 и 2023 году.
Таким образом злоумышленники устанавливали троян удаленного доступа Coathanger на взломанные машины, и тогда сообщалось, что атака затронула Министерство обороны страны.
Как теперь заявили в MIVD, от рук только одной китайской хак-группы пострадали около 14 000 устройств. Среди целей хакеров были десятки западных правительств, международных организаций и множество компаний, работающих в сфере оборонной промышленности.
Специалисты предупреждают, что Coathanger способен «пережить» перезагрузку системы и обновление прошивки, и предоставляет злоумышленникам постоянный доступ к взломанным системам. «Даже если жертва устанавливает патчи FortiGate, злоумышленники все равно сохраняют доступ», — пишут представители MIVD.
Сообщается, что в общей сложности хакеры получили доступ к 20 000 систем FortiGate по всему миру в период с 2022 по 2023 год. Причем атаки начались за несколько месяцев до раскрытия информации о CVE-2022-42475.
В MIVD считают, что китайские хакеры все еще сохраняют доступ ко многим пострадавшим организациям, поскольку Coathanger крайне трудно обнаружить, ведь малварь перехватывает системные вызовы, чтобы не выдать своего присутствия.
