Ngày 20 tháng 1 năm 2023Ravie LakshmananTường lửa / An ninh mạng
Một kẻ bị nghi ngờ là mối đe dọa liên quan đến Trung Quốc đã khai thác lỗ hổng được vá gần đây trong Fortinet FortiOS SSL-VPN dưới dạng lỗ hổng zero-day trong các cuộc tấn công nhắm vào một thực thể chính phủ Châu Âu và một nhà cung cấp dịch vụ được quản lý (MSP) ở Châu Phi.
Bằng chứng từ xa do Mandiant thuộc sở hữu của google thu thập cho thấy rằng việc khai thác xảy ra sớm nhất là vào tháng 10 năm 2022, ít nhất gần hai tháng trước khi các bản sửa lỗi được phát hành.
Các nhà nghiên cứu của Mandiant cho biết trong một báo cáo kỹ thuật: “Sự cố này tiếp tục mô hình khai thác các thiết bị truy cập internet của Trung Quốc, đặc biệt là những thiết bị được sử dụng cho mục đích bảo mật được quản lý (ví dụ: tường lửa, thiết bị IPS\IDS, v.v.)”.
Các cuộc tấn công đòi hỏi phải sử dụng một cửa sau tinh vi có tên là BOLDMOVEmột biến thể Linux được thiết kế đặc biệt để chạy trên tường lửa FortiGate của Fortinet.
Vectơ xâm nhập được đề cập liên quan đến việc khai thác CVE-2022-42475, lỗ hổng tràn bộ đệm dựa trên heap trong FortiOS SSL-VPN có thể dẫn đến thực thi mã từ xa không được xác thực thông qua các yêu cầu được tạo thủ công cụ thể.
Đầu tháng này, Fortinet đã tiết lộ rằng các nhóm tin tặc không xác định đã lợi dụng thiếu sót này để nhắm mục tiêu vào các chính phủ và các tổ chức lớn khác bằng một bộ cấy Linux chung có khả năng cung cấp các tải trọng bổ sung và thực thi các lệnh được gửi bởi một máy chủ từ xa.
Những phát hiện mới nhất từ Mandiant chỉ ra rằng tác nhân đe dọa đã quản lý để lạm dụng lỗ hổng dưới dạng lỗ hổng zero-day để tạo lợi thế và vi phạm các mạng được nhắm mục tiêu cho các hoạt động gián điệp.
“Với BOLDMOVE, những kẻ tấn công không chỉ phát triển khai thác mà còn cả phần mềm độc hại cho thấy sự hiểu biết sâu sắc về hệ thống, dịch vụ, ghi nhật ký và các định dạng độc quyền không có giấy tờ”, công ty tình báo mối đe dọa cho biết.
Phần mềm độc hại, được viết bằng C, được cho là có cả biến thể Windows và Linux, với phiên bản thứ hai có khả năng đọc dữ liệu từ định dạng tệp độc quyền của Fortinet. Phân tích siêu dữ liệu về hương vị Windows của cửa hậu cho thấy rằng chúng đã được biên soạn từ tận năm 2021, mặc dù không có mẫu nào được phát hiện trong tự nhiên.
BOLDMOVE được thiết kế để thực hiện khảo sát hệ thống và có khả năng nhận lệnh từ máy chủ chỉ huy và kiểm soát (C2), từ đó cho phép kẻ tấn công thực hiện các thao tác với tệp, tạo trình bao từ xa và chuyển tiếp lưu lượng truy cập qua máy chủ bị nhiễm.
Một mẫu Linux mở rộng của phần mềm độc hại đi kèm với các tính năng bổ sung để vô hiệu hóa và thao túng các tính năng ghi nhật ký nhằm tránh bị phát hiện, chứng thực báo cáo của Fortinet.
Mandiant lưu ý: “Việc khai thác các lỗ hổng zero-day trong các thiết bị mạng, sau đó là cài đặt các bộ cấy ghép tùy chỉnh, phù hợp với việc khai thác các thiết bị mạng trước đây của Trung Quốc”.
