Staatlich unterstützte Hacker aus China haben eine Sicherheitslücke in Fortinet FortiGate-Systemen ausgenutzt und weltweit Zugriff auf 20.000 Systeme erlangt. Dies zeigt, dass das Ausmaß der Operation weit größer ist, als bisher angenommen wurde.
Das niederländische Nationale Zentrum für Cybersicherheit (NCSC) berichtet, dass die staatlich geförderten Angreifer bereits zwei Monate vor der offiziellen Bekanntgabe der Sicherheitslücke durch Fortinet über diese informiert waren. „Während dieser sogenannten Zero-Day-Phase infizierte der Akteur allein 14.000 Geräte“, so das NCSC in einer neuen Mitteilung.
Die Kampagne zielte auf Dutzende westlicher Regierungen, internationale Organisationen und zahlreiche Unternehmen der Verteidigungsindustrie ab. Namen der betroffenen Einrichtungen wurden nicht veröffentlicht.
Die Erkenntnisse bauen auf einem früheren Bericht vom Februar 2024 auf, in dem festgestellt wurde, dass die Angreifer ein Computernetzwerk der niederländischen Streitkräfte durch Ausnutzung der Schwachstelle CVE-2022-42475 (CVSS-Score: 9.8), die eine Fernausführung von Code ermöglicht, kompromittiert hatten.
Die Eindringlinge legten den Weg für die Implementierung einer Hintertür, codenamed COATHANGER, von einem server, der von den Angreifern kontrolliert wird. Diese Hintertür ist so konzipiert, dass sie den Angreifern dauerhaften Fernzugriff auf die kompromittierten Geräte ermöglicht und als Ausgangspunkt für weitere Malware dient.
Das NCSC erklärte, dass die Angreifer die Malware erst lange nach dem Erstzugriff installierten, um ihre Kontrolle über die Geräte zu behalten. Es ist jedoch unklar, wie viele Opfer ihre Geräte mit dem Implantat infiziert hatten.
Diese neueste Entwicklung unterstreicht erneut den anhaltenden Trend von Cyberangriffen, die auf Edge-Geräte abzielen, um Netzwerke von Interesse zu durchbrechen.
„Aufgrund der Sicherheitsherausforderungen von Edge-Geräten sind diese ein beliebtes Ziel für bösartige Akteure“, sagte das NCSC. „Edge-Geräte befinden sich am Rand des IT-Netzwerks und haben oft eine direkte Verbindung zum Internet. Darüber hinaus werden diese Geräte häufig nicht von Lösungen zur Erkennung und Reaktion auf Endpunkte (EDR) unterstützt.“