Голландская служба военной разведки и безопасности (MIVD) предупредила, что последствия китайской кибершпионской кампании, раскрытой ранее в этом году, оказались «гораздо масштабнее», чем предполагалось изначально. В период с 2022 по 2023 год хакеры взломали 20 000 системам Fortinet FortiGate по всему миру, воспользовавшись критической уязвимостью.

В феврале 2024 года MIVD, совместно с Генеральной службой разведки и безопасности Нидерландов (AIVD) опубликовали отчет, согласно которому китайские хакеры эксплуатировали критическую RCE-уязвимость в FortiOS/FortiProxy (CVE-2022-42475) в течение нескольких месяцев в 2022 и 2023 году.

Таким образом злоумышленники устанавливали троян удаленного доступа Coathanger на взломанные машины, и тогда сообщалось, что атака затронула Министерство обороны страны.

Как теперь заявили в MIVD, от рук только одной китайской хак-группы пострадали около 14 000 устройств. Среди целей хакеров были десятки западных правительств, международных организаций и множество компаний, работающих в сфере оборонной промышленности.

Специалисты предупреждают, что Coathanger способен «пережить» перезагрузку системы и обновление прошивки, и предоставляет злоумышленникам постоянный доступ к взломанным системам. «Даже если жертва устанавливает патчи FortiGate, злоумышленники все равно сохраняют доступ», — пишут представители MIVD.

Сообщается, что в общей сложности хакеры получили доступ к 20 000 систем FortiGate по всему миру в период с 2022 по 2023 год. Причем атаки начались за несколько месяцев до раскрытия информации о CVE-2022-42475.

В MIVD считают, что китайские хакеры все еще сохраняют доступ ко многим пострадавшим организациям, поскольку Coathanger крайне трудно обнаружить, ведь малварь перехватывает системные вызовы, чтобы не выдать своего присутствия.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии