แฮกเกอร์จีนเจาะระบบ FortiGate ทั่วโลก มากกว่า 20,000 เครื่อง

แฮกเกอร์จีนเจาะระบบ FortiGate ทั่วโลก มากกว่า 20,000 เครื่อง
ThaiCERT ข่าวสารภัยคุกคามทางไซเบอร์

209/67 (IT) ประจำวันพฤหัสบดีที่ 13 มิถุนายน 2567

หน่วยข่าวกรองและความมั่นคงทางทหารของเนเธอร์แลนด์ (MIVD) เปิดเผยว่าในเดือนกุมภาพันธ์ในรายงานร่วมกับ General Intelligence and Security Service (AIVD) พบว่าแฮกเกอร์ชาวจีนใช้ประโยชน์จากช่องโหว่ CVE-2022-42475 การเรียกใช้โค้ดจากระยะไกลที่สำคัญของ FortiOS/FortiProxy ในระหว่างปี 2022 ถึง 2023 เพื่อติดตั้งมัลแวร์บนอุปกรณ์รักษาความปลอดภัยเครือข่าย Fortigate ที่มีช่องโหว่ดังกล่าว โดย MIVD กล่าวว่า “ในช่วงเวลาที่เรียกว่า Zero-day นี้ ผู้ที่เป็นภัยคุกคามรายนี้ได้แพร่กระจายมัลแวร์ไปยังอุปกรณ์จำนวน 14,000 เครื่อง โดยมีเป้าหมายรวมถึงรัฐบาล องค์กรระหว่างประเทศ และบริษัทจำนวนมากในอุตสาหกรรมการป้องกันประเทศ” มัลแวร์โทรจันการเข้าถึงระยะไกล (RAT) ของ Coathanger ที่ใช้ในการโจมตียังพบในเครือข่ายกระทรวงกลาโหมของเนเธอร์แลนด์ที่ใช้ในการวิจัยและพัฒน ของโครงการที่ไม่เป็นความลับ อย่างไรก็ตาม เนื่องจากการแบ่งส่วนเครือข่าย ผู้โจมตีจึงถูกบล็อกไม่ให้ย้ายไปยังระบบอื่น    

MIVD ยังพบว่ามัลแวร์สายพันธุ์ที่ไม่รู้จักก่อนหน้านี้ ซึ่งสามารถอยู่รอดได้จากการรีบูตระบบและการอัปเกรดเฟิร์มแวร์ ได้ถูกนำไปใช้โดยกลุ่มแฮ็กเกอร์ที่ได้รับการสนับสนุนจากประเทศจีน ในแคมเปญการจารกรรมทางการเมืองโดยกำหนดเป้าหมายไปที่ประเทศเนเธอร์แลนด์และกลุ่มพันธมิตร “ไม่ทราบว่ามีเหยื่อกี่รายที่ติดตั้งมัลแวร์จริง แต่พิจารณาแล้วว่ามีแนวโน้มว่าผู้มีบทบาทของรัฐอาจขยายการเข้าถึงเหยื่อหลายร้อยรายทั่วโลก และดำเนินการเพื่อขโมยข้อมูล โดยตั้งแต่เดือนกุมภาพันธ์ MIVD ได้ค้นพบว่ากลุ่มภัยคุกคามของจีนสามารถเข้าถึงระบบ FortiGate อย่างน้อย 20,000 ระบบทั่วโลกในปี 2565 และ 2566 ในช่วงไม่กี่เดือน อย่างน้อยสองเดือนก่อนที่ Fortinet จะเปิดเผยช่องโหว่ CVE-2022-42475 ซึ่ง MIVD เชื่อว่าแฮกเกอร์ชาวจีนยังคงเข้าถึงเหยื่อจำนวนมากได้ เนื่องจากมัลแวร์ Coathanger นั้นตรวจจับได้ยาก และยังเป็นเรื่องยากที่จะลบออกเนื่องจากยังคงมีการอัปเกรดเฟิร์มแวร์อยู่ ช่องโหว่ CVE-2022-42475 ยังถูกนำไปใช้ประโยชน์แบบ Zero-dayเพื่อกำหนดเป้าหมายองค์กรภาครัฐและหน่วยงานที่เกี่ยวข้อง ตามที่ Fortinet เปิดเผยในเดือนมกราคม 2023 การโจมตีเหล่านี้มีความคล้ายคลึงกันมากกับแคมเปญแฮ็กของจีนอื่นที่กำหนดเป้าหมายอุปกรณ์ SonicWall Secure Mobile Access (SMA) ที่ไม่ได้รับการแก้ไข เพื่อทำการติดตั้งมัลแวร์จารกรรมข้อมูลที่ถูกออกแบบมาให้ทนทานต่อการอัปเกรดเฟิร์มแวร์

แหล่งข่าว https://www.bleepingcomputer.com/news/security/chinese-hackers-breached-20-000-fortigate-systems-worldwide/