Поделиться
Хакеры набросились на госучреждения, атакуя их через уже залатанную «дыру» в VPN Fortinet
Уязвимость в продуктах Fortinet, устраненная еще в ноябре 2022 г., стала активно использоваться вероятными кибершпионами в замысловатых атаках.
Госорганы в прицеле
Компания Fortinet объявила о том, что неизвестная группировка злоумышленников активно эксплуатирует критическую уязвимость в программной оболочке аппаратного VPN-решения компании — FortiOS SSL-VPN. Жертвами атак стал ряд государственных органов.
Уязвимость CVE-2022-42475, выявленная в 2022 г., — это ошибка переполнения буфера, которая позволяет удаленно вызывать отказ в работе или запускать произвольный код на устройстве.
В середине декабря 2022 г. Fortinet призвал пользователей своих устройств срочно обновить программные оболочки. Обновление было выпущено в самом конце ноября. Разработчик тогда не стал заострять внимание на том, что речь шла об устранении уязвимости нулевого дня, то есть, что атаки уже начались.
7 декабря пользователей устройств уведомили об обновлении конфиденциально, и лишь 12 декабря компания признала, что уязвимость активно атакуют злоумышленники.
В начале января 2023 г. Fortinet опубликовал новое сообщение, в котором указывается, что уязвимость используется для установки троянизированной версии IPSEngine, сканера приложений, встраиваемого в продукты Fortinet.
Кибершпионы в деле?
Пока известно о нескольких узконаправленных атаках, нацеленных преимущественно на государственные учреждения или аффилированные с ними организации.
Уровень исполнения перехваченного эксплойта указывает на высокий уровень технологической подготовки его операторов: им удалось произвести частичную обратную разработку операционной системы FortiOS. Выявленные артефакты кода заставляют предположить, что перехваченный сэмпл скомпилировали в системе, располагающейся в часовом поясе UTC+8. В него входят Китай, Монголия, Филиппины, Сингапур, частично — Индонезия, Австралия и Россия.
«Атаки на госорганы и квалификация операторов атак явственно указывают на то, что это хакеры, аффилированные с какой-либо государственной спецслужбой, — полагает Михаил Зайцев, эксперт по информационной безопасности компании SEQ. — И хотя точная атрибуция — всегда затруднительный процесс, для обоснованных предположений хватает и обстоятельства с часовым поясом, в котором компилировали вредонос».
Авторы вредоноса приложили немало усилий для обеспечение скрытности и постоянства: вредоносное ПО изменяет процессы журнала событий FortiOS таким образом, чтобы скрывать из него определенные события, а то и вовсе блокирует эти процессы.
Кроме того, вредонос компрометирует систему предупреждения вторжений, так что она перестает выполнять свои основные функции — выявлять попытки взлома.
Вредоносная программа также скачивает дополнительные вредоносные модули с сайта, принадлежащего злоумышленникам. К сожалению, перехватить их не удалось.
Компания настоятельно рекомендует клиентам обновить версию FortiOS до последней доступной, а в случае обнаружения индикаторов компрометации, связанные с декабрьской атакой, обратиться в службу поддержки компании.
Короткая ссылка
