Chińska grupa cyberprzestępcza wykorzystuje lukę w zabezpieczeniach Forti OS

Chińska grupa cyberprzestępcza wykorzystuje lukę w zabezpieczeniach Forti OS – CVE-2022-42475. Mandiant śledzi podejrzaną kampanię China-nexus, w której wykorzystano lukę w FortiOS SSL-VPN – CVE-2022-42475, jako lukę dnia zerowego. Pozyskane dowody wskazują, że już w październiku 2022 r. miało miejsce pierwsze wykorzystanie tej podatności, a zidentyfikowane cele obejmują europejską jednostkę rządową i dostawcę usług w Afryce.

W ramach dochodzenia firma Mandiant zidentyfikowała złośliwe oprogramowanie, które śledziła pod nazwą „BOLDMOVE”. Backdoor BOLDMOVE występuje w dwóch wariantach dla systemu Windows i Linux, który został specjalnie zaprojektowany do działania na zaporach sieciowych FortiGate i zawiera również możliwości manipulowania określonymi funkcjami FortOS. Mandiant wskazuje, że jest to najnowsza chińska operacja cyberszpiegowska, której celem są urządzenia z dostępem do sieci Internet i taktyka ta będzie preferowanym wektorem włamań dla chińskich grup cyberprzestępczych.

12 grudnia 2022 roku firma Fortinet opublikowała poradę PSIRT, powiadomiła klientów o problemie i opublikowała instrukcje dotyczące wskaźników naruszenia bezpieczeństwa oraz dodatkowe dane IoC. Fortinet poinformował, że ​​jego analiza wykazała, że ​​złośliwy plik mógł podszywać się pod komponent silnika IPS Fortinet w zaatakowanych systemach. Fortinet wskazał, że jedną z bardziej zaawansowanych funkcji złośliwego oprogramowania była manipulacja logowaniem, w celu uniknięcia wykrycia. Złośliwe oprogramowanie może wyszukiwać dzienniki zdarzeń w FortiOS, dekompresować je w pamięci oraz wyszukiwać i usuwać określony ciąg, który umożliwia mu odtworzenie dzienników. Złośliwe oprogramowanie może również całkowicie zamknąć procesy rejestrowania.

Incydent ten jest kontynuacją chińskiego wzorca wykorzystywania urządzeń typu zapory sieciowe, IPS\IDS, które są atrakcyjnym celem z wielu powodów. Po pierwsze, są dostępne w sieci Internet i jeśli atakujący dysponuje exploitem, może uzyskać dostęp do sieci bez konieczności interakcji z atakowanym urządzeniem. Pozwala to atakującemu kontrolować czas operacji i może zmniejszyć szanse na jego wykrycie. Opracowanie exploitów służących do kompromitowania urządzeń wymaga znacznych zasobów, dlatego są one najczęściej wykorzystywane w operacjach przeciwko celom o krytycznym znaczeniu, często w sektorze rządowym i obronnym.

Należy zauważyć, że wiele urządzeń tego typu nie oferuje prostego mechanizmu sprawdzania, które procesy są uruchomione w systemach operacyjnych urządzenia. Urządzenia te są zwykle przeznaczone do sprawdzania ruchu sieciowego, wyszukiwania anomalii oraz oznak złośliwego zachowania, ale same nie są chronione.

Po wykonaniu BOLDMOVE próbuje utworzyć sesję z zakodowanym na stałe serwerem C2. Po ustanowieniu połączenia przeprowadza badanie systemu w celu zebrania informacji, które identyfikują zainfekowaną maszynę. Następnie C&C może wysyłać polecenia do wykonania, które umożliwiają atakującym przejęcie kontroli nad zainfekowanym urządzeniem. Linuksowa iteracja BOLDMOVE wykorzystuje kilka skompilowanych bibliotek do zaimplementowania swojej funkcjonalności. Nieokreślona i prawdopodobnie niestandardowa biblioteka używana do obsługi zdarzeń, działa w trybie jednowątkowym, w którym każda akcja jest planowana i wykonywana jako wywołanie zwrotne, WolfSSL umożliwiający szyfrowaną komunikację SSL z serwerem C2 i Musl libc.