Αποκαλύφθηκε μια μεγάλη επιχείρηση κατασκοπείας της κινεζικής κυβέρνησης σε δίκτυο του ολλανδικού στρατού. Το στρατιωτικό δίκτυο παραβιάστηκε μέσω μιας ευπάθειας στο FortiGate. Αυτό ισχύει και για άλλους πελάτες της Fortinet.
Έκτοτε αποκαλύφθηκε και το botnet Volt Typhoon, το οποίο φέρεται να λειτουργούσε από Κινέζους κρατικούς hackers και έκλεισε πρόσφατα από το FBI, πιθανότατα υπήρχε εδώ και πέντε χρόνια. Η αμερικανική υπηρεσία ασφαλείας CISA δημοσίευσε περισσότερες λεπτομέρειες στις 7 Φεβρουαρίου 2024.
Ένα δίκτυο των ολλανδικών ενόπλων δυνάμεων έγινε στόχος κρατικών hacker από την Κίνα, όπως φαίνεται από το παρακάτω tweet.
Ωστόσο, σύμφωνα με την Ολλανδική Στρατιωτική Υπηρεσία Πληροφοριών και Ασφάλειας (MIVD), πρόκειται για ένα δίκτυο που χρησιμοποιείται για μη ταξινομημένη έρευνα και ανάπτυξη (R&D από το research and development).
https://bsky.app/profile/ninjaowl.ai/post/3kksqer2e4e2u
Η επίθεση πραγματοποιήθηκε το 2023, με τους επιτιθέμενους να εκμεταλλεύονται μια γνωστή κρίσιμη ευπάθεια στο FortiOS SSL VPN (CVE-2022-42475, βαθμολογία CVSS: 9.3) που επιτρέπει σε έναν εισβολέα χωρίς έλεγχο ταυτότητας να τρέξει αυθαίρετα κώδικα μέσω ειδικά σχεδιασμένων αιτημάτων.
Η Κίνα κατασκόπευε την Ολλανδία με το νέο κακόβουλο λογισμικό απομακρυσμένης πρόσβασης trojan (RAT ή remote access trojan) “COATHANGER”.
Η επιτυχής εκμετάλλευση της ευπάθειας που αναφέραμε παραπάνω άνοιξε το δρόμο για την εγκατάσταση του COATHANGER σαν ένα backdoor που έδινε στους hackers απομακρυσμένη πρόσβαση στο δίκτυο.
Περισσότερες πληροφορίες
http://www.ncsc.nl/documenten/publicaties/2024/februari/6/mivd-aivd-advisory-coathanger-tlp-clear
https://www.ncsc.nl/actueel/advisory?id=NCSC%2D2022%2D0763
https://github.com/JSCU-NL/COATHANGER