Китайские хакеры атаковали европейские государственные учреждения

Согласно недавнему отчёту , опубликованному компанией Mandiant , предположительно китайские киберпреступники использовали уязвимость нулевого дня в FortiOS, операционной системе, разработанной американской компанией по кибербезопасности Fortinet , для совершения целенаправленной атаки.

Уязвимость под идентификатором CVE-2022-42475 была эксплуатирована ещё в октябре 2022 года. К моменту выхода отчёта «брешь» уже устранили. В январе Fortinet предупредила своих клиентов, что хакеры используют эту уязвимость для нападения на правительственные сети.

Mandiant обнаружила новую вредоносную программу, которую исследователи назвали Boldmove. Она была специально разработана для работы на межсетевых экранах FortiGate от Fortinet.

Исследователи полагают, что атака была проведена в рамках китайской операции по кибершпионажу, нацеленной на сетевые устройства. «Мы ожидаем, что эта тактика и далее будет предпочтительным вектором вторжения для хорошо обеспеченных ресурсами китайских групп», — сказали представители Mandiant.

Вредоносное ПО Boldmove

Бэкдор Boldmove был обнаружен в декабре 2022 года. Он написан на языке программирования C и имеет варианты как для Windows, так и для Linux. Последний, к слову, предназначен для работы на сетевых устройствах Fortinet, поскольку он считывает данные из файлов, принадлежащих компании. При успешном выполнении вредоносное ПО позволяет злоумышленникам получить полный удаленный контроль над уязвимым устройством FortiOS.

Версия Boldmove для Windows была скомпилирована еще в 2021 году, однако специалисты Mandiant до этого момента не видели, чтобы этот вредонос использовался «в дикой природе» ( ITW ).

Исследователи Mandiant подозревают, что за атаками стоят китайские хакеры из-за используемой ими тактики и таргетинга. Кроме того, вредоносное ПО, по данным исследователей, было скомпилировано на компьютере, настроенном для отображения китайских иероглифов и расположенном в часовом поясе UTC+8, который включает Австралию, Китай, Россию, Сингапур и другие страны Восточной Азии.

Сетевые устройства Fortinet

Согласно Mandiant, устройства для выхода в Интернет (от англ. «internet-facing devices» ), такие как брандмауэры, устройства IPS и IDS, являются привлекательными целями для атак кибербандитов.

Во-первых, у них есть доступ к Интернету. Значит, при наличии нужного эксплойта, доступ в сеть может быть обеспечен без какого-либо взаимодействия с жертвой. «Это позволяет злоумышленнику чётко контролировать время операции и снизить шансы на обнаружение», — сказали в Mandiant.

Во-вторых, вышеупомянутые сетевые устройства хоть и предназначены для проверки сетевого трафика, поиска аномалий, а также признаков злонамеренного поведения, но зачастую сами уязвимы для атак хакеров.

Эксплойты, необходимые для компрометации этих устройств, сложно разрабатывать, поэтому они часто используются против высокоприоритетных целей — в государственном и оборонном секторах.

По словам Mandiant, пока не существует механизмов для обнаружения вредоносных процессов, запущенных на подобных сетевых устройствах. «Это делает сетевые устройства слепой зоной для специалистов по безопасности и позволяет злоумышленникам прятаться в них, сохраняя скрытность в течение длительного времени. А также использовать их, чтобы закрепиться в целевой сети», — говорится в исследовании.