Çinli Bilgisayar Korsanları, Hollanda Askeri Ağını İhlal Etmek İçin FortiGate Kusurundan Yararlandı

Hollanda Askeri İstihbarat ve Güvenlik Servisi (MIVD) yaptığı açıklamada, "Bu [bilgisayar ağı] sınıflandırılmamış araştırma ve geliştirme (Ar-Ge) için kullanıldı" dedi. "Bu sistem kendi kendine yeten bir sistem olduğu için savunma ağına herhangi bir zarar vermedi." Ağın 50'den az kullanıcısı vardı.

2023'te gerçekleşen izinsiz giriş, FortiOS SSL-VPN'de (CVE-2022-42475, CVSS puanı: 9.3) kimliği doğrulanmamış bir saldırganın özel hazırlanmış istekler aracılığıyla rastgele kod yürütmesine izin veren bilinen kritik bir güvenlik açığından yararlandı.

Kusurun başarılı bir şekilde kullanılması, güvenliği ihlal edilmiş cihazlara kalıcı uzaktan erişim sağlamak için tasarlanmış, aktör tarafından kontrol edilen bir sunucudan COATHANGER adlı bir arka kapının konuşlandırılmasının yolunu açtı.

Hollanda Ulusal Siber Güvenlik Merkezi (NCSC), "COATHANGER kötü amaçlı yazılımı gizli ve kalıcıdır" dedi. "Varlığını ortaya çıkarabilecek sistem çağrılarını bağlayarak kendini gizliyor. Yeniden başlatmalardan ve ürün yazılımı yükseltmelerinden kurtulur."

COATHANGER, Ekim 2022 gibi erken bir tarihte bir Avrupa devlet kurumunu ve Afrika'da bulunan bir yönetilen hizmet sağlayıcıyı (MSP) hedef alan saldırılarda CVE-2022-42475'i sıfır gün olarak kullandığı bilinen Çin merkezli şüpheli bir tehdit aktörüyle bağlantılı başka bir arka kapı olan BOLDMOVE'dan farklıdır.

Gelişme, Hollanda'nın ilk kez bir siber casusluk kampanyasını Çin'e atfettiğini gösteriyor. Haberi yayınlayan Reuters, kötü amaçlı yazılımın adını, İngiliz yazar Roald Dahl'ın kısa öyküsü Lamb to the Slaughter'dan bir satır içeren bir kod parçacığından aldığını söyledi.

Ayrıca, ABD yetkililerinin, Volt Typhoon gibi Çinli tehdit aktörleri tarafından kötü niyetli trafiğin kökenlerini gizlemek için kullanılan güncel olmayan Cisco ve NETGEAR yönlendiricilerinden oluşan bir botnet'i ortadan kaldırmak için adımlar atmasından günler sonra geldi.

Geçen yıl, Google'ın sahibi olduğu Mandiant, UNC3886 olarak izlenen bir Çin-nexus siber casusluk grubunun, uzak bir sunucudan alınan rastgele komutları yürütmek ve hassas verileri sızdırmak için THINCRUST ve CASTLETAP implantlarını dağıtmak için Fortinet cihazlarındaki sıfır gün istismarından yararlandığını ortaya çıkardı.

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.

0 Yorum

Henüz Yorum Yapılmamıştır.! İlk Yorum Yapan Siz Olun

Yorum Gönder

Lütfen tüm alanları doldurunuz!

GamerMekanı

E-Bülten Aboneliği