Chinese hackers breached 20,000 FortiGate systems worldwide
2024/06/11 BleepingComputer — オランダ軍の情報セキュリティ局 (MIVD:Military Intelligence and Security Service) が 6月11日に公開したアラートは、2024年の初頭に公表中国のサイバースパイ・キャンペーンの影響が、これまで考えられていたよりも遥かに大きいと警告するものだ。2024年2月に MIVD は、オランダの情報機関である AIVD (Algemene Inlichtingen- en Veiligheidsdienst) との共同レポートで、この件について情報を公開している。同レポートによると、中国のハッカーは 2022〜2023年の数カ月間にわたり、Fortinet FortiOS/FortiProxy の深刻なリモート・コード実行の脆弱性 CVE-2022-42475 を悪用し、脆弱な Fortigate ネットワーク・セキュリティ・アプライアンスにマルウェアを展開していたという。
先日の MIVD のアラートには、「この脅威アクターは、いわゆる “ゼロデイ” 期間中に、14,000台のデバイスを感染させた。その攻撃対象には、数十の (西側) 政府/国際機関/防衛産業内の、多数の企業が含まれている」と記されている。
今回の攻撃で使用された Coathanger RAT (remote access trojan) は、非機密プロジェクトの研究開発で使用されている、オランダ国防省のネットワークでも発見された。ただし、ネットワーク・セグメンテーションの効果により、他システムへの攻撃者の移動は阻止されたという。
オランダと同盟国をターゲットとする政治スパイ活動において、中国の国家に支援されたハッキング・グループにより、この未知のマルウェア株が展開されていることを、MIVD は発見した。その特徴として挙げられるのは、システムの再起動やファームウェアのアップグレードに対する耐性であるという。
MIVD は、「このマルウェアにより脅威アクターは、システムへの永続的なアクセス権を獲得できるようになった。たとえ被害者が、FortiGate のセキュリティ・アップデートをインストールしても、彼らは不正なアクセスを維持し続けることができる。現時点では、実際にマルウェアがインストールされた被害者数は不明だ。オランダの諜報機関と NCSC (Nationaal Cyber Security Centrum) は、国家権力が世界中の数百人の被害者にアクセスを拡大し、データ窃取などの、さらなる悪意のアクションを実行する可能性があると考えている」と詳述している。
少なくとも 20,000万台の Fortigate システムが侵入された
MIVD が2月以降に解明したのは、この中国の脅威グループが、2022年と 2023年の数カ月にわたり、少なくとも全世界の 20,000万台の FortiGate システムに不正アクセスしていたことだ。この発見は、Fortinet が FortiOS SSL-VPN の脆弱性 CVE-2022-42475 を公表した、2カ月ほど前のことである。
Coathanger マルウェアはシステム・コールを傍受するため、その検出は難しく、また、ファームウェアのアップグレードにも耐えるため、削除も困難であるという。したがって、この中国のハッカーは、数多くの潜在的な被害者にアクセスしていると、MIVD は推察している。
この脆弱性 CVE-2022-42475 は、2023年1月に Fortinet が公表したように、政府機関や関連団体を標的とする攻撃で、ゼロデイとして悪用されていた。
この攻撃は、別の中国のハッキング・キャンペーンとの、数多くの類似点を持っている。以前にも、パッチの適用されていない SonicWall Secure Mobile Access (SMA) アプライアンスを標的として、ファームウェアのアップグレードに耐えるように設計された、サイバースパイ用のマルウェアが用いられたことがある。
ファームウェアに入り込んだマルウェアを、削除することが難しいという、きわめて深刻な状況です。しかも、その台数は 20,000台とのことです。昨年の起こった Barracuda デバイスの交換のような事態になってしまうのでしょうか? よろしければ、Fortinet で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.