Ένα κινεζικό δίκτυο κυβερνοεγκλήματος θεωρείται ύποπτο ότι βρίσκεται πίσω από μια σειρά κακόβουλων επιχειρήσεων σε κυβερνητικά δίκτυα που χρησιμοποιούν μια μη επιδιορθωμένη ευπάθεια της Fortinet (CVE-2022-41328) για την ανάπτυξη κακόβουλου λογισμικού.
Την περασμένη εβδομάδα, η Fortinet αποκάλυψε μια σοβαρή ευπάθεια ασφαλείας που επέτρεπε στους εγκληματίες του κυβερνοχώρου να αναπτύσσουν κακόβουλα payload εκτελώντας μη εγκεκριμένο κώδικα ή οδηγίες σε ανεπαρκώς ενημερωμένες συσκευές firewall FortiGate.
Κατά την περαιτέρω επιθεώρηση, κατέστη προφανές ότι το κακόβουλο λογισμικό μπορεί να χρησιμοποιηθεί για τακτικές κυβερνοκατασκοπείας, όπως κλοπή δεδομένων, προσθήκη ή διαγραφή αρχείων σε μολυσμένες συσκευές και το άνοιγμα των remote shells κατά τη λήψη ειδικά διαμορφωμένων πακέτων ICMP.
Ένα από τα περιστατικά ανακαλύφθηκε όταν οι συσκευές FortiGate ενός πελάτη έκλεισαν με σφάλματα που συνδέονται με την ακεραιότητα του υλικολογισμικού FIPS, καθιστώντας τες μη λειτουργικές.
Για να σταματήσουν οι προσπάθειες εισβολής στο δίκτυο, τα συστήματα σταμάτησαν αυτόματα την εκκίνηση – μια κανονική διαδικασία για τις μονάδες με δυνατότητα FIPS. Οι χάκερς είχαν παραβιάσει τα firewalls με το exploit CVE-2022-41328 FortiGate path traversal και όταν όλα τα τείχη έκλεισαν ταυτόχρονα, η Fortinet υποψιάστηκε ότι προήλθε από μία μόνο πηγή: μια συσκευή FortiManager.
Η εταιρεία δήλωσε ότι επρόκειτο σαφώς για επιθέσεις εναντίον κυβερνητικών συστημάτων και μεγάλων επιχειρήσεων, με τους επιτιθέμενους να παρουσιάζουν “εξελιγμένες ικανότητες”, οι οποίες περιλάμβαναν reverse-engineering του λειτουργικού συστήματος των συσκευών FortiGate.
Σύνδεσμοι με κινεζικούς κυβερνοκατασκόπους
Σε μια πρόσφατη έκθεση της Mandiant, ανακαλύφθηκε ότι στα μέσα του 2022 σημειώθηκε μια επίθεση από μια απειλητική ομάδα με έδρα την Κίνα (UNC3886), η οποία έχει εντοπιστεί από την εταιρεία.
Καθώς η Mandiant και η Fortinet ερευνούσαν το περιστατικό, ανακάλυψαν ότι η UNC3886 είχε παραβιάσει τις συσκευές της Fortinet και είχε εμφυτεύσει δύο νέα στελέχη κακόβουλου λογισμικού για συνεχή πρόσβαση στα δίκτυά τους – το Thincrust backdoor κωδικοποιημένο σε Python και το Castletap passive backdoor μέσω ICMP port-knocking.
Για να ξεκινήσουν τις κακόβουλες ενέργειές τους, οι απειλητικοί φορείς διείσδυσαν αρχικά σε μια συσκευή FortiManager που ήταν προσβάσιμη από το Διαδίκτυο. Στη συνέχεια εκμεταλλεύτηκαν την ευπάθεια zero-day CVE-2022-41328 για να γράψουν αρχεία μόνοι τους και να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση σε άλλα συστήματα εντός του δικτύου, κινούμενοι πλευρικά σε αυτό.
Με το backdoor Thincrust, η ομάδα κατάφερε να αποκτήσει persistence στις συσκευές FortiManager και FortiAnalyzer. Για να προωθήσουν τις κακόβουλες δραστηριότητές τους, χρησιμοποίησαν το Castletap, το οποίο τους επέτρεψε να αναπτύξουν ένα backdoor σε πολλαπλά firewall Fortigate μέσω προσαρμοσμένων FortiManager scripts.
Στη συνέχεια, ο εισβολέας δημιούργησε σύνδεση με τις μηχανές ESXi και vCenter, εγκαθιστώντας τα backdoors VirtualPita και VirtualPie για μόνιμη πρόσβαση στους παραβιασμένους hypervisors και τις εικονικές μηχανές. Αυτό τους επέτρεψε να συνεχίσουν τις παράνομες δραστηριότητές τους κάτω από την κάλυψη του σκοταδιού χωρίς το φόβο της ανακάλυψης.
Αφού διείσδυσαν μέσω προηγουμένως παραβιασμένων τειχών προστασίας FortiGate χρησιμοποιώντας το Castletap, οι επιτιθέμενοι ανέπτυξαν έναν ανακατευθυντή κυκλοφορίας (Tableflip) και μια εφαρμογή backdoor (Reptile) σε συσκευές που εμποδίζουν την πρόσβαση από εξωτερικά δίκτυα.
Πηγή πληροφοριών: bleepingcomputer.com
