Κινέζοι χάκερ φέρονται να έχουν αναπτύξει προσαρμοσμένο κακόβουλο λογισμικό εναντίον μιας ευρωπαϊκής κυβερνητικής οντότητας και ενός αφρικανικού παρόχου υπηρεσιών διαχείρισης. Σύμφωνα με μια έκθεση που κυκλοφόρησε από την Mandiant, χάκερ εκμεταλλεύτηκαν μια zero-day ευπάθεια που είχε επιδιορθωθεί πρόσφατα – CVE-2022-42475 – στο FortiOS, ένα λειτουργικό σύστημα που αναπτύχθηκε από την αμερικανική εταιρεία κυβερνοασφάλειας Fortinet.
Ήδη από τον Οκτώβριο του 2022, οι χάκερ είχαν ήδη αρχίσει να εκμεταλλεύονται την ευπάθεια πριν αυτή επιδιορθωθεί. Τον Ιανουάριο, η Fortinet προειδοποίησε τους πελάτες της ότι κακόβουλοι παράγοντες εκμεταλλεύονταν αυτό το κενό ασφαλείας για να παραβιάσουν κυβερνητικά δίκτυα.
Η Mandiant αποκάλυψε πρόσφατα ένα εξαιρετικά εξελιγμένο κακόβουλο λογισμικό, το οποίο ονομάστηκε Boldmove από τους ερευνητές της και εκμεταλλεύεται την ευπάθεια. Αυτή η έκδοση Linux αυτού του κακόβουλου λογισμικού διαμορφώθηκε ειδικά για να τρέχει στα δημοφιλή FortiGate firewall της Fortinet.
Οι εν λόγω ερευνητές υποθέτουν ότι πρόκειται για μια από τις πολλές κινεζικές δραστηριότητες κυβερνοκατασκοπείας που επικεντρώνονται σε εκτεθειμένα μηχανήματα που βασίζονται στο διαδίκτυο.
Σύμφωνα με τη Mandiant, οι κινεζικές οντότητες με υψηλή χρηματοδότηση θα παραμείνουν πιθανότατα προσκολλημένες σε αυτή τη συγκεκριμένη τακτική για περαιτέρω εισβολές.
Boldmove malware
Τον Δεκέμβριο του 2022, η Mandiant ανακάλυψε το Boldmove backdoor γραμμένο σε γλώσσα προγραμματισμού C. Διαθέτει εκδόσεις για Windows και Linux και το εκπληκτικό είναι ότι η έκδοση Linux προορίζεται να τρέχει σε συσκευές Fortinet, λαμβάνοντας πληροφορίες από αρχεία που ανήκουν στην εταιρεία.
Όταν ενορχηστρωθούν κατάλληλα, οι κακόβουλοι φορείς μπορούν να αποκτήσουν πλήρη απομακρυσμένο έλεγχο μιας ευάλωτης συσκευής FortiOS με τη βοήθεια αυτού του κακόβουλου λογισμικού.
Η έκδοση του Boldmove για τα Windows, η οποία συντάχθηκε το 2021, παρέμενε αδρανής μέχρι τώρα. Η Mandiant δεν έχει παρατηρήσει να χρησιμοποιείται κακόβουλα ή με οποιαδήποτε ιδιότητα ακόμη.
Οι ερευνητές της Mandiant υποπτεύθηκαν ότι οι κινέζοι χάκερ ήταν υπεύθυνοι για τις επιθέσεις λόγω της τακτικής τους καθώς και της επιλογής των στόχων τους. Επιπλέον, τα αποδεικτικά στοιχεία δείχνουν ότι το κακόβουλο λογισμικό συντάχθηκε σε υπολογιστή που είχε διαμορφωθεί με κινεζικούς χαρακτήρες και βρισκόταν στη ζώνη ώρας UTC+8, συμπεριλαμβανομένων εθνών όπως η Σιγκαπούρη, η Κίνα, η Αυστραλία, η Ρωσία και άλλα ασιατικά εδάφη.
Συσκευές δικτύωσης
Σύμφωνα με την Mandiant, οι εγκληματίες του κυβερνοχώρου βρίσκουν συσκευές ασφαλείας που έχουν πρόσβαση στο Διαδίκτυο, όπως firewall, συσκευές IPS και συστήματα IDS που χρησιμοποιούνται για σκοπούς διαχειριζόμενης ασφάλειας, ιδιαίτερα ελκυστικούς στόχους για επιθέσεις.
Εκμεταλλευόμενοι το διαδίκτυο, οι επιτιθέμενοι μπορούν να αποκτήσουν τον έλεγχο ενός δικτύου χωρίς τη συμμετοχή του θύματος.
Οι συσκευές networking είναι συνήθως σχεδιασμένες για να ανιχνεύουν οτιδήποτε ασυνήθιστο στην κυκλοφορία του δικτύου και πιθανή κακόβουλη δραστηριότητα, αλλά συχνά δεν διαθέτουν τα κατάλληλα μέτρα ασφαλείας.
Τα exploits που απαιτούνται για την παραβίαση αυτών των συσκευών είναι δύσκολο να αναπτυχθούν, επομένως χρησιμοποιούνται συχνά εναντίον στόχων υψηλής προτεραιότητας — στον κυβερνητικό και αμυντικό τομέα.
Σύμφωνα με τη Mandiant, δυστυχώς δεν υπάρχει τρόπος να εντοπιστούν κακόβουλες διεργασίες που εκτελούνται σε συσκευές με πρόσβαση στο διαδίκτυο.
Πηγή πληροφοριών: therecord.media
