گزارشها نشان میدهد که بین سالهای 2022 تا 2023، مهاجمان چینی موفق شدند حداقل 20000 دستگاه Fortinet، از جمله برخی از آنها متعلق به دولت هلند را به خطر بیاندازند.
این خبر که اخیراً توسط سرویس اطلاعات و امنیت نظامی هلند (MIVD) تأیید شده است، همچنین می گوید که دامنه این کمپین بسیار بیشتر از آن چیزی است که در ابتدا تصور می شد، اکنون تصور می شود حداقل 20000 نقطه پایانی در معرض خطر در سراسر جهان را تحت تأثیر قرار دهد.
به نظر می رسد هدف این کمپین جاسوسی سایبری است، جایی که چین به طور غیرقانونی از کشورهای غربی تحت نظر است.
Coathanger RAT
در فوریه 2024، MIVD گزارشی را همراه با سرویس اطلاعات و امنیت عمومی کشور (AIVD) منتشر کرد که در آن آنها کمپینی را که توسط بازیگران تهدید کننده تحت حمایت دولت چین علیه نمونههای FortiOS/FortiProxy اجرا میشد، شرح دادند. این دستگاهها در برابر یک نقص اجرای کد از راه دور که بهعنوان CVE-2022-42475 ردیابی شده بود، آسیبپذیر بودند.
در آن زمان، این دو سازمان بر این باور بودند که چینی ها حدود 14000 دستگاه را آلوده کرده اند: «در طول این دوره موسوم به «روز صفر»، این بازیگر تنها 14000 دستگاه را آلوده کرده است. اهداف شامل دهها دولت (غربی)، سازمانهای بینالمللی و تعداد زیادی از شرکتهای صنعت دفاعی است. »
در میان قربانیان دستگاه هایی نیز وجود داشتند که بخشی از بخش تحقیق و توسعه وزارت دفاع هلند بودند، البته برای پروژه های طبقه بندی نشده.
برای به خطر انداختن نقاط پایانی، چینی ها از یک تروجان دسترسی از راه دور (RAT) به نام Coathanger استفاده کردند. این RAT به مهاجمان این امکان را میدهد که حتی پس از راهاندازی مجدد و بهروزرسانی سیستمافزار روی دستگاه پایدار بمانند.
اگرچه این وصله مدتها پیش در دسترس قرار گرفته است، MIVD معتقد است که Coathanger هنوز در بسیاری از دستگاهها وجود دارد، زیرا در فرار از برنامههای آنتیویروس کاملاً پایدار و خوب است.
چین تعدادی گروه هک در فهرست حقوق و دستمزد دارد، از جمله Volt Typhoon که اخیراً سالها در شبکههای شرکتهای زیرساختی حیاتی ایالات متحده پنهان شده بود. از سوی دیگر، APT31 اخیراً به سرقت دادههای رأیدهندگان بریتانیا که در اوت 2021 رخ داد، متهم شد.
از طریق Bleeping Computer
ارسال نظر