Chińscy hakerzy zhakowali 20 000 urządzeń FortiGate

Jeśli Twoja firma korzysta z FortiGate, niech lepiej sprawdzi dokładnie urządzenia.

Firma Fortinet, producent urządzeń do zapewnienia bezpieczeństwa informatycznego dla organizacji, po raz kolejny boryka się z problemem. Bardziej dotyka on tak naprawdę jej klientów, i według nas jest całkiem spory, ponieważ dotyczy urządzeń krańcowych – zapór ogniowych (Next Generation Firewall).

Mowa tutaj o Coatanger – szkodliwym programie stworzonym specjalnie do utrzymywania się na urządzeniach FortiGate. Może nadal czaić się na wielu urządzeniach rozmieszczonych na całym świecie.

Przypominamy, że na Kapitanie pisaliśmy wcześniej wiele razy o innych podatnościach w urządzeniach tego producenta, dlatego warto być czujnym.

Jak Coatanger utrzymuje się na urządzeniach FortiGate?

W lutym 2024 r. Holenderska Służba Wywiadu Wojskowego i Bezpieczeństwa (MIVD) oraz Ogólna Służba Wywiadu i Bezpieczeństwa (AIVD) poinformowały, , że sponsorowani przez państwo chińscy hakerzy włamali się do holenderskiego Ministerstwa Obrony w 2023 r., korzystając ze znanego mechanizmu RCE przed uwierzytelnieniem FortiOS (lukę w zabezpieczeniach CVE-2022-42475) i wykorzystali nowatorskie złośliwe oprogramowanie typu trojan zdalnego dostępu do utworzenia trwałego backdoora.

RAT nazwano „Coatanger” i stwierdzono, że jest w stanie przetrwać ponowne uruchomienie i aktualizacje oprogramowania sprzętowego. Trudno jest również wykryć jego obecność za pomocą poleceń FortiGate CLI i usunąć go z zaatakowanych urządzeń.

Służby bezpieczeństwa udostępniły w poradniku wskaźniki naruszenia bezpieczeństwa i różne metody wykrywania oraz wyjaśniły, że „jedynym obecnie zidentyfikowanym sposobem usunięcia go z zainfekowanego urządzenia FortiGate jest sformatowanie urządzenia oraz jego ponowną instalację i ponowną konfigurację”.

Przypisali także włamanie i szkodliwe oprogramowanie chińskiej grupie cyberszpiegowskiej.

Szeroko zakrojona kampania

W poniedziałek holenderskie Krajowe Centrum Cyberbezpieczeństwa (NCSC) poinformowało, że MIVD w dalszym ciągu prowadzi dochodzenie w sprawie kampanii i ustaliło co następuje:

  • Ugrupowanie zagrażające uzyskało dostęp do co najmniej 20 000 systemów FortiGate na całym świecie w ciągu kilku miesięcy, zarówno w latach 2022, jak i 2023.
  • Wykorzystali lukę w zabezpieczeniach FortiOS (CVE-2022-42475) jako dzień zerowy co najmniej dwa miesiące przed ogłoszeniem tego przez firmę Fortinet.

„W tak zwanym okresie dnia zerowego aktor sam zainfekował 14 000 urządzeń. Do celów należą dziesiątki (zachodnich) rządów, organizacje międzynarodowe i duża liczba firm z branży obronnej” – stwierdziło NCSC.

Osoba zagrażająca zainstalowała później złośliwe oprogramowanie Coatanger na urządzeniach odpowiednich celów.

„Nie wiadomo, ile ofiar faktycznie ma zainstalowane złośliwe oprogramowanie. Holenderskie służby wywiadowcze i NCSC uważają za prawdopodobne, że podmiot państwowy mógłby potencjalnie rozszerzyć swój dostęp do setek ofiar na całym świecie i przeprowadzić dodatkowe działania, takie jak kradzież danych” – stwierdzili eksperci i dodali, że biorąc pod uwagę trudny proces wykrywania i oczyszczania, „jest prawdopodobne, że podmiot państwowy nadal ma dostęp do systemów znacznej liczby ofiar”.

Innym problemem jest to, że złośliwe oprogramowanie Coatanger może zostać użyte w połączeniu z dowolną obecną lub przyszłą luką w zabezpieczeniach urządzeń FortiGate – zarówno typu zero, jak i N-day.

Jak sobie radzić z tym problemem?

Poniżej publikujemy kilka rad NCSC dla firm i organizacji w celu zabezpieczenia się przed problemem.

„Trudno zapobiec początkowemu zagrożeniu sieci IT, jeśli atakujący zastosuje dzień zerowy. Dlatego ważne jest, aby organizacje stosowały zasadę »zakładaj naruszenie«” – stwierdziła NCSC.

„Zasada ta stanowi, że udany atak cyfrowy już miał miejsce lub wkrótce nastąpi. Na tej podstawie podejmowane są działania mające na celu ograniczenie szkód i wpływów. Obejmuje to podjęcie środków łagodzących w obszarach segmentacji, wykrywania, planów reagowania na incydenty i gotowości kryminalistycznej”.

W ataku wymierzonym w holenderskie Ministerstwo Obrony skutki włamania zostały ograniczone dzięki skutecznej segmentacji sieci.

Na koniec raportu NCSC zauważyło, że problemem nie są konkretnie urządzenia Fortinet, ale urządzenia „krańcowe” – zapory ogniowe, serwery VPN, routery, serwery SMTP itp.

„Ostatnie incydenty i zidentyfikowane luki w zabezpieczeniach różnych urządzeń brzegowych pokazują, że produkty te często nie są zgodne z nowoczesnymi zasadami bezpieczeństwa już na etapie projektowania” – stwierdzili badacze.

Urządzenia krańcowe na celowniku hakerów

Ponieważ prawie w każdej organizacji wdrożono jedno lub więcej urządzeń brzegowych, cyberprzestępcom opłaca się szukać luk w zabezpieczeniach, które mają na nie wpływ.

Zalecamy przeprowadzanie aktualizacji na bieżąco oraz odpowiednią konfigurację i ochronę sieci w celu ograniczenia rozprzestrzenienia się ataków w głąb organizacji. Pamiętajmy też, że zapewnienie ochrony brzegowej firmy poprzez NGFW oraz wewnątrz przez antywirusa nie jest lekarstwem na ataki cybernetyczne. Bezpieczeństwo wewnętrzne organizacji pełni bardzo ważną rolę w całej tej układance.

Polecamy też zapoznanie się z pomocnymi poradami NCSC dotyczącymi tego, jak organizacje powinny postępować w przypadku korzystania z urządzeń brzegowych.

Podziel się z innymi tym artykułem!