Chińscy hakerzy włamali się do 20 000 systemów Fortinet FortiGate

W latach 2022 i 2023 chińscy hakerzy dokonali włamań do 20 000 systemów Fortinet FortiGate na całym świecie, wykorzystując ten dostęp do ataków na zachodnie rządy i prywatne firmy z branży obronnej.

FortiGate, zapora ogniowa i platforma bezpieczeństwa sieci firmy Fortinet, była celem cyberprzestępców, którzy instalowali złośliwe oprogramowanie „Coathanger”, infiltrując instytucje rządowe, dostawców usług, firmy konsultingowe, produkcyjne oraz duże organizacje zajmujące się infrastrukturą krytyczną. W lutym Fortinet potwierdził istnienie luki w zabezpieczeniach, którą hakerzy wykorzystali do swoich ataków. Jak donosi BleepingComputer, holenderska służba wywiadu wojskowego i bezpieczeństwa (MIVD) odkryła, że hakerzy prowadzili „polityczną kampanię szpiegowską wymierzoną w Holandię i jej sojuszników”. Według MIVD, w ciągu dwóch miesięcy przed ujawnieniem informacji o FortiGate, hakerzy zainfekowali co najmniej 14 000 urządzeń.

Chińscy hakerzy wykorzystują błąd zapory ogniowej, aby atakować cele za pomocą złośliwego oprogramowania „Coathanger”.

Kilka miesięcy później dochodzenie przeprowadzone przez MIVD i holenderskie Krajowe Centrum Bezpieczeństwa Cybernetycznego (NCSC) wykazało, że chińska kampania cyberszpiegowska była znacznie bardziej rozległa, niż początkowo sądzono. NCSC wzywa do „zwrócenia szczególnej uwagi na tę kampanię”, podkreślając, że złośliwe oprogramowanie Coathanger może pozostać na urządzeniu nawet po aktualizacji zabezpieczeń, zapewniając chińskim hakerom „stały dostęp do systemów”.

Holenderskie służby wywiadowcze (MIVD) i Krajowe Centrum Bezpieczeństwa Cybernetycznego (NCSC) ostrzegają, że nie wiadomo, ile ofiar faktycznie zainstalowało złośliwe oprogramowanie w wyniku chińskich ataków hakerskich. „NCSC i holenderskie służby wywiadowcze stwierdzają, że prawdopodobne jest, iż podmiot państwowy nadal ma dostęp do systemów znacznej liczby ofiar” – informują służby. Może to prowadzić do dalszych i rozszerzonych ataków, takich jak kradzież danych.

Atak ten wpisuje się w niedawny trend, który NCSC i holenderskie służby wywiadowcze obserwują od pewnego czasu. Celem tych ataków są publicznie dostępne urządzenia brzegowe, takie jak zapory ogniowe, serwery VPN, routery i serwery poczty e-mail.