Çinli Bilgisayar Korsanları, Hollanda Askeri Ağını İhlal Etmek İçin FortiGate Kusurundan Yararlandı
Çin devlet destekli bilgisayar korsanları, Fortinet FortiGate cihazlarını hedef alarak Hollanda silahlı kuvvetleri tarafından kullanılan bir bilgisayar ağına girdi.
Hollanda Askeri İstihbarat ve Güvenlik Servisi (MIVD) yaptığı açıklamada, "Bu [bilgisayar ağı] sınıflandırılmamış araştırma ve geliştirme (Ar-Ge) için kullanıldı" dedi. "Bu sistem kendi kendine yeten bir sistem olduğu için savunma ağına herhangi bir zarar vermedi." Ağın 50'den az kullanıcısı vardı.
2023'te gerçekleşen izinsiz giriş, FortiOS SSL-VPN'de (CVE-2022-42475, CVSS puanı: 9.3) kimliği doğrulanmamış bir saldırganın özel hazırlanmış istekler aracılığıyla rastgele kod yürütmesine izin veren bilinen kritik bir güvenlik açığından yararlandı.
Kusurun başarılı bir şekilde kullanılması, güvenliği ihlal edilmiş cihazlara kalıcı uzaktan erişim sağlamak için tasarlanmış, aktör tarafından kontrol edilen bir sunucudan COATHANGER adlı bir arka kapının konuşlandırılmasının yolunu açtı.
Hollanda Ulusal Siber Güvenlik Merkezi (NCSC), "COATHANGER kötü amaçlı yazılımı gizli ve kalıcıdır" dedi. "Varlığını ortaya çıkarabilecek sistem çağrılarını bağlayarak kendini gizliyor. Yeniden başlatmalardan ve ürün yazılımı yükseltmelerinden kurtulur."
COATHANGER, Ekim 2022 gibi erken bir tarihte bir Avrupa devlet kurumunu ve Afrika'da bulunan bir yönetilen hizmet sağlayıcıyı (MSP) hedef alan saldırılarda CVE-2022-42475'i sıfır gün olarak kullandığı bilinen Çin merkezli şüpheli bir tehdit aktörüyle bağlantılı başka bir arka kapı olan BOLDMOVE'dan farklıdır.
Gelişme, Hollanda'nın ilk kez bir siber casusluk kampanyasını Çin'e atfettiğini gösteriyor. Haberi yayınlayan Reuters, kötü amaçlı yazılımın adını, İngiliz yazar Roald Dahl'ın kısa öyküsü Lamb to the Slaughter'dan bir satır içeren bir kod parçacığından aldığını söyledi.
Ayrıca, ABD yetkililerinin, Volt Typhoon gibi Çinli tehdit aktörleri tarafından kötü niyetli trafiğin kökenlerini gizlemek için kullanılan güncel olmayan Cisco ve NETGEAR yönlendiricilerinden oluşan bir botnet'i ortadan kaldırmak için adımlar atmasından günler sonra geldi.
Geçen yıl, Google'ın sahibi olduğu Mandiant, UNC3886 olarak izlenen bir Çin-nexus siber casusluk grubunun, uzak bir sunucudan alınan rastgele komutları yürütmek ve hassas verileri sızdırmak için THINCRUST ve CASTLETAP implantlarını dağıtmak için Fortinet cihazlarındaki sıfır gün istismarından yararlandığını ortaya çıkardı.
Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.
Benzer Haberler
Kötü Şöhretli Hacker Grubu TeamTNT, Kripto Madenciliği İçin Yeni Bulut Saldırıları Başlattı
Fidye Yazılımı Çeteleri, Son Saldırılarda Kurbanları Korkutmak İçin LockBit'in Ününü Kullanıyor
Bumblebee ve Latrodectus Kötü Amaçlı Yazılım Gelişmiş Kimlik Avı Stratejileriyle Geri Dönüyor
Dikkat: Sahte Google Meet Sayfaları, Devam Eden ClickFix Kampanyasında Bilgi Hırsızları Sağlıyor
Astaroth Banking Kötü Amaçlı Yazılımı, Hedef Odaklı Kimlik Avı Saldırısıyla Brezilya'da Yeniden Ortaya Çıktı
FASTCash Kötü Amaçlı Yazılımının Yeni Linux Varyantı, ATM Soygunlarında Ödeme Anahtarlarını Hedefliyor
Çin, ABD'yi kendi bilgisayar korsanlığı kampanyalarını gizlemek için Volt Typhoon'u üretmekle suçluyor
Yeni Gorilla Botnet, 100 Ülkede 300.000'den Fazla DDoS Saldırısı Başlattı