Mit <kes>+ lesen

Von China unterstützte Hacker infizieren weltweit 20.000 Fortinet-Systeme

Vom chinesischen Staat geförderte Bedrohungsakteure haben sich 2022 und 2023 durch Ausnutzung einer bekannten kritischen Sicherheitslücke Zugang zu über 20.000 Fortinet FortiGate-Systemen weltweit verschafft. Diese Angriffe richteten sich gegen verschiedene Regierungen, internationale Organisationen und Unternehmen der Verteidigungsindustrie.

Bedrohungen
Lesezeit 1 Min.

Der staatliche Akteur hinter dieser Kampagne war bereits mindestens zwei Monate vor der Offenlegung der Sicherheitslücke durch Fortinet über die Schwachstelle in den FortiGate-Systemen informiert, teilte das niederländische Nationale Cyber-Sicherheitszentrum (NCSC) in einem neuen Bulletin mit. „Während dieser sogenannten Zero-Day-Periode infizierte der Akteur allein 14.000 Geräte.“

Die Kampagne richtete sich gegen Dutzende westliche Regierungen, internationale Organisationen und eine große Anzahl von Unternehmen in der Verteidigungsindustrie. Die Namen der betroffenen Organisationen wurden nicht bekannt gegeben.

Langfristiger Zugriff und Schadensausmaß

Die Erkenntnisse bauen auf einer früheren Warnung vom Februar 2024 auf. Diese legte offen, dass die Angreifer ein Computernetzwerk der niederländischen Streitkräfte durch Ausnutzung der Sicherheitslücke CVE-2022-42475 (CVSS-Score: 9,8) kompromittiert hatten, die Remote-Code-Ausführung ermöglicht.

Das Eindringen bereitete den Weg für die Bereitstellung einer Hintertür mit dem Codenamen COATHANGER von einem akteursgesteuerten Server, die dazu dient, dauerhaften Fernzugriff auf die kompromittierten Geräte zu gewähren und als Ausgangspunkt für weitere Malware zu fungieren.

Das NCSC erklärte, der Angreifer habe sich entschieden, die Malware erst lange nach dem ersten Zugriff zu installieren, um die Kontrolle über die Geräte zu behalten, obwohl nicht klar ist, wie viele Opfer ihre Geräte mit dem Implantat infiziert hatten.

EDGE-Geräte im Visier

Die jüngste Entwicklung unterstreicht einmal mehr den anhaltenden Trend von Cyberangriffen, die sich auf EDGE-Geräte konzentrieren, um Netzwerke zu kompromittieren.

„Aufgrund der Sicherheitsherausforderungen am Netzwerkrand sind diese Geräte ein beliebtes Ziel für böswillige Akteure,“ so das NCSC. „Diese Geräte haben regelmäßig eine direkte Verbindung zum Internet. Darüber hinaus werden sie oft nicht von Endpoint Detection and Response (EDR)-Lösungen überwacht.“

Diesen Beitrag teilen: