Хакеры набросились на госучреждения, атакуя их через уже залатанную «дыру» в VPN Fortinet

Госорганы в прицеле

Компания Fortinet объявила о том, что неизвестная группировка злоумышленников активно эксплуатирует критическую уязвимость в программной оболочке аппаратного VPN-решения компании — FortiOS SSL-VPN. Жертвами атак стал ряд государственных органов.

Уязвимость CVE-2022-42475, выявленная в 2022 г., — это ошибка переполнения буфера, которая позволяет удаленно вызывать отказ в работе или запускать произвольный код на устройстве.

В середине декабря 2022 г. Fortinet призвал пользователей своих устройств срочно обновить программные оболочки. Обновление было выпущено в самом конце ноября. Разработчик тогда не стал заострять внимание на том, что речь шла об устранении уязвимости нулевого дня, то есть, что атаки уже начались.

Fortinet торопит: хакеры используют прошлогоднюю брешь для атак на госорганы

7 декабря пользователей устройств уведомили об обновлении конфиденциально, и лишь 12 декабря компания признала, что уязвимость активно атакуют злоумышленники.

В начале января 2023 г. Fortinet опубликовал новое сообщение, в котором указывается, что уязвимость используется для установки троянизированной версии IPSEngine, сканера приложений, встраиваемого в продукты Fortinet.

Кибершпионы в деле?

Пока известно о нескольких узконаправленных атаках, нацеленных преимущественно на государственные учреждения или аффилированные с ними организации.

Уровень исполнения перехваченного эксплойта указывает на высокий уровень технологической подготовки его операторов: им удалось произвести частичную обратную разработку операционной системы FortiOS. Выявленные артефакты кода заставляют предположить, что перехваченный сэмпл скомпилировали в системе, располагающейся в часовом поясе UTC+8. В него входят Китай, Монголия, Филиппины, Сингапур, частично — Индонезия, Австралия и Россия.

ИТ-компании могут получить компенсацию до 80% расходов на маркетинг Поддержка ИТ-отрасли

«Атаки на госорганы и квалификация операторов атак явственно указывают на то, что это хакеры, аффилированные с какой-либо государственной спецслужбой, — полагает Михаил Зайцев, эксперт по информационной безопасности компании SEQ. — И хотя точная атрибуция — всегда затруднительный процесс, для обоснованных предположений хватает и обстоятельства с часовым поясом, в котором компилировали вредонос».

Авторы вредоноса приложили немало усилий для обеспечение скрытности и постоянства: вредоносное ПО изменяет процессы журнала событий FortiOS таким образом, чтобы скрывать из него определенные события, а то и вовсе блокирует эти процессы.

Кроме того, вредонос компрометирует систему предупреждения вторжений, так что она перестает выполнять свои основные функции — выявлять попытки взлома.

Вредоносная программа также скачивает дополнительные вредоносные модули с сайта, принадлежащего злоумышленникам. К сожалению, перехватить их не удалось.

Анализ угроз и киберразведка: какие проблемы решает обновленная TIP Security Vision Безопасность

Компания настоятельно рекомендует клиентам обновить версию FortiOS до последней доступной, а в случае обнаружения индикаторов компрометации, связанные с декабрьской атакой, обратиться в службу поддержки компании.