Af Eskil Sørensen, 12/06/24
En igangværende kinesisk-tilknyttet cyberspionagekampagne har med succes infiltreret "et betydeligt antal ofre", som omfatter vestlige regeringer, internationale organisationer og forsvarsindustri. Det har de hollandske efterretnings- og sikkerhedsmyndigheder oplyst mandag ifølge en artikel i mediet Cyberscoop.
Meldingen fra det hollandske justitsministerium kommer på baggrund af en rapport, der tilbage i februar blev publiceret om en operation rettet mod FortiGate edge-enheder. I februar-rapporten blev der orienteret om opdagelsen af en ny fjernadgangstrojaner ved navn "Coathanger", der er designet til at opretholde adgangen til FortiGate-enheder. Rapporten blev udarbejdet på baggrund af et brud i det hollandske forsvarsministerium, og i opfølgningen i mandagens rapport konkluderes det, at den kinesiske cyberspionagekampagne ser ud til at være meget mere "omfattende" end tidligere kendt.
20.000 systemer
Det fremgår, at aktionen sikrede adgang til mindst 20.000 FortiGate-systemer på verdensplan inden for få måneder i 2022 og 2023 ved hjælp af udnyttelse af en sårbarhed i FortiGate FortiOS-softwaren. Angriberne kendte til sårbarheden i mindst to måneder, før Fortinet annoncerede sårbarheden og patchede den. I den periode blev der inficeret omkring 14.000 enheder og efterfølgende yderligere 6.000.
Målene for aktiviteterne omfatter "snesevis" af vestlige regeringer, internationale organisationer og et stort antal virksomheder inden for forsvarsindustrien, hedder det. Det medførte, at der blev installeret malware på systemer forbundet med en ukendt undergruppe af "relevante" mål. Og selvom disse ofre opdaterede deres FortiGate, var angriberne alligevel i stand til at bevare adgangen til systemerne.
Edge er problemet
De hollandske myndigheder fremhæver den fortsatte misbrug af edge-enheder - inklusive firewalls og routere - som en nøgle til de "sofistikerede statsstøttede" operationer. Disse operationer har angrebet sårbare, små kontor- og hjemmeroutere til at få adgang til kritisk infrastruktur og andre følsomme netværk, hvilket amerikanske embedsmænd også har advaret om.
Selvom antallet af enheder med malwaren installeret ikke er kendt, anser den hollandske efterretningstjeneste det for sandsynligt, at statsaktøren potentielt kunne udvide sin adgang til hundredvis af ofre verden over og ifølge meldingen gøre mere såsom at stjæle data. Heri hedder det også, at malwaren er svær at identificere og fjerne, hvorfor NCSC, som er det britiske nationale cybersikkerhedscenter, og de hollandske efterretningstjenester oplyser, at det er sandsynligt, at den statslige aktør stadig har adgang til systemer for et betydeligt antal ofre.
Links:
https://arstechnica.com/security/2024/06/china-state-hackers-infected-20...