Holenderskie ministerstwo obrony potwierdza włamanie do swojej infrastruktury IT. W akcji chińska grupa APT oraz malware przeżywający restarty oraz aktualizacje (!) urządzenia.

Opis całej sytuacji dostępny jest w tym miejscu, a z relacji dowiadujemy się kilku ciekawych faktów:

• Udane włamanie do infrastruktury IT ministerstwa obrony Holandii / Niderlandów miało miejsce w 2023 roku
• Atakujący przeniknęli do sieci wykorzystując znaną podatność w urządzeniach Fortigate (CVE-2022-42475). Podatność klasy buffer overflow w SSL-VPN, umożliwiająca wykonanie kodu na urządzeniu, bez posiadania jakiegokolwiek konta
• Zauważmy, że podatność została załatana w grudniu 2022, a do ataku doszło „w 2023 roku”. Całkiem sporo czasu podatne urządzenie działało sobie bez łatek…
• Atakujący użyli zaawansowanego malware, który utrudnia swoje wykrycie, przeżywa restarty
• Malware przeżywa również aktualizację firmware. Można wiec posiadać w pełni zaktualizowanego Fortigate, ale zainfekowanego
• W sekcji 4 oraz 5 raportu, wskazano jak sprawdzić czy posiadamy infekcję oraz jak ją trwale usunąć
• Malware komunikuje się z atakującymi korzystając z szyfrowanego połączenia (SSL)
• Jako atakującego wskazuje się z wysokim prawdopodobieństwem grupę hackerską związaną z rządem Chin
• Dzięki zastosowaniu odpowiedniej segmentacji sieci, atak nie rozlał się szerzej
• Wskazani atakujący potrafią działać niezwykle szybko (często dosłownie w jeden dzień od pojawienia się informacji o łatce/luce)

~ms