Ύποπτοι Κινέζοι χάκερ εκμεταλλεύτηκαν μια ευπάθεια που αποκαλύφθηκε πρόσφατα στο FortiOS SSL-VPN ως μηδενική ημέρα του Δεκεμβρίου, στοχεύοντας μια ευρωπαϊκή κυβέρνηση και έναν αφρικανικό MSP με ένα νέο προσαρμοσμένο κακόβουλο λογισμικό Linux και Windows «BOLDMOVE».
Η ευπάθεια παρακολουθείται ως CVE-2022-42475 και επιδιορθώθηκε αθόρυβα από την Fortinet τον Νοέμβριο. Η Fortinet αποκάλυψε δημόσια την ευπάθεια τον Δεκέμβριο,προτρέποντας τους πελάτες να επιδιορθώσουν τις συσκευές τους καθώς οι παράγοντες απειλών εκμεταλλεύονταν ενεργά το ελάττωμα.
Το ελάττωμα επιτρέπει σε απομακρυσμένους μη επαληθευμένους εισβολείς να συντρίψουν στοχευμένες συσκευές εξ αποστάσεως ή να αποκτήσουν απομακρυσμένη εκτέλεση κώδικα.
Ωστόσο, μόνο αυτό το μήνα, η Fortinet μοιράστηκε περισσότερες λεπτομέρειες σχετικά με το πώς το εκμεταλλεύτηκαν οι χάκερ, εξηγώντας ότι οι φορείς απειλών είχαν στοχεύσει κυβερνητικές οντότητες με προσαρμοσμένο κακόβουλο λογισμικό που έχει σχεδιαστεί ειδικά για να λειτουργεί σε συσκευές FortiOS.
Οι εισβολείς επικεντρώθηκαν στη διατήρηση της επιμονής σε συσκευές που εκμεταλλεύονται χρησιμοποιώντας το προσαρμοσμένο κακόβουλο λογισμικό για να επιδιορθώσουν τις διαδικασίες καταγραφής του FortiOS, έτσι ώστε να μπορούν να αφαιρεθούν συγκεκριμένες εγγραφές καταγραφής ή να απενεργοποιηθεί εντελώς η διαδικασία καταγραφής.
Χθες, η Mandiant δημοσίευσε μια αναφορά σχετικά με μια ύποπτη κινεζική εκστρατεία κατασκοπείας που αξιοποιεί το ελάττωμα του FortiOS από τον Οκτώβριο του 2022 χρησιμοποιώντας ένα νέο κακόβουλο λογισμικό «BOLDMOVE» που έχει σχεδιαστεί ρητά για επιθέσεις σε συσκευές FortiOS.