オランダ軍情報セキュリティ局(Military Intelligence and Security Service:MIVD)は本日、今年初めに発表された中国によるサイバースパイキャンペーンの影響は “これまで知られていたよりもはるかに大きい “と警告した。
MIVDが2月にAIVD(General Intelligence and Security Service)との共同報告書で明らかにしたように、中国のハッカーは、2022年から2023年にかけての数か月間にわたり、FortiOS/FortiProxyの重大なリモートコード実行の脆弱性(CVE-2022-42475)を悪用し、脆弱なFortigateネットワーク・セキュリティ・アプライアンス上にマルウェアを展開しました。
このいわゆる “ゼロデイ “期間中、行為者は単独で14,000台のデバイスに感染しました。ターゲットには、数十の(欧米の)政府、国際機関、防衛産業内の多数の企業が含まれています」とMIVDは述べています。
今回の攻撃で使用されたCoathangerリモート・アクセス・トロージャン(RAT)マルウェアは、非機密プロジェクトの研究開発(R&D)に使用されているオランダ国防省のネットワークでも発見さ れた。それでも、ネットワークのセグメンテーションにより、攻撃者が他のシステムに移動することは阻止された。
MIVDは、システムの再起動やファームウェアのアップグレードに耐えることができるこの未知のマルウェア株は、オランダとその同盟国を標的とした政治スパイ活動において、中国の国家に支援されたハッキンググループによって展開されたことを発見しました。
「これにより、国家権力者はシステムに永久にアクセスできるようになった。被害者がFortiGateのセキュリティアップデートをインストールしても、国営企業はこのアクセスを維持し続けます」とMIVDは付け加えた。
「実際にマルウェアがインストールされた被害者が何人いるのかは分かっていない。オランダの諜報機関とNCSCは、この国家権力が世界中の数百人の被害者にアクセスを拡大し、データを盗むなどの追加行為を実行する可能性があると考えています。
少なくとも2万台のFortigateシステムに侵入
2月以降、オランダの軍事情報機関は、中国の脅威グループが、フォーティネットがCVE-2022-42475の脆弱性を公表する少なくとも2ヶ月前の2022年と2023年に、数ヶ月のスパンで、世界中で少なくとも20,000台のFortiGateシステムにアクセスしたことを発見しました。
MIVDは、Coathangerマルウェアはその存在を明らかにしないようにシステムコールを傍受するため検出が困難であり、またファームウェアのアップグレードにも耐えるため削除も困難であることから、中国のハッカーは依然として多くの被害者にアクセスしていると考えています。
CVE-2022-42475もゼロデイとして悪用され、2023年1月にフォーティネットが公表したように、政府機関や関連団体を標的としていた。
これらの攻撃は、パッチの適用されていないSonicWall Secure Mobile Access(SMA)アプライアンスを標的に、ファームウェアのアップグレードに耐えられるように設計されたサイバースパイ用のマルウェアを使用した、別の中国のハッキングキャンペーンと多くの類似点があります。
Comments