Националният център за киберсигурност на Нидерландия заяви, че хакерската кампания на китайската COATHANGER е много по-мащабна, отколкото се смяташе досега
Според нидерландското правителство свързаната с Китай киберкампания, която е проникнала в отбранителна мрежа на страната миналата година е много по-мащабна, отколкото се смяташе досега. Кампанията, наречена COATHANGER, има връзка с комунистически Китай и е проникнала в десетки хиляди правителствени и отбранителни системи в западни държави.
Тя се е възползвала от „ден – първи“ (zero-day) уязвимостта на защитната система FortiGate, използвана от Нидерландия и други държави в много правителствени мрежи. Т. нар. „ден – първи“ уязвимост съществува, когато дадена софтуерна актуализация се внедрява за първи път.
Щетите от пробива са били ограничени поради мрежовата сегментация, която отделя засегнатата система от по-широката отбранителна мрежа на страната. Това уточнява нидерландското разузнаване в първоначалния си доклад, публикуван през февруари 2024 г.
Тогава нидерландският министър на отбраната Кайса Олонгрен заяви: „Важно е да сме сигурни, че подобни шпионски дейности, извършвани от Китай, стават обществено достояние, тъй като това ще помогне да се засили международната защита срещу този вид кибершпионаж“.
На 10 юни обаче от Националния център за киберсигурност на Нидерландия (NCSC) обявиха, че китайската киберкампания е много по-мащабна, отколкото са предполагали.
NCSC посочи, че COATHANGER е компрометирала 20 000 системи в десетки западни правителства, международни организации и голям брой компании от отбранителната индустрия.
Хакерите също така са инсталирали малуеър (зловреден софтуер) на някои от компрометираните системи, за да гарантират постоянен достъп до тях, който все още не е прекъснат.
В изявлението се посочва, че „дори ако обектът на атаката инсталира актуализации за сигурност на FortiGate“, хакерите ще продължават да имат достъп.
„Не е известно колко от жертвите действително имат инсталиран зловреден софтуер.“, продължава изявлението и предупреждава: „Нидерландските разузнавателни служби и NCSC смятат за вероятно свързаната с Китай кампания потенциално да е могла да разшири достъпа си до стотици жертви по целия свят и да е успяла да извърши и други неща, като например кражба на данни.“, поради което организациите трябва да предприемат мерки за смекчаване на възможните последици от този достъп.
От първоначалния доклад на Нидерландия, публикуван съвместно от Нидерландската служба за военно разузнаване и сигурност и Службата за общо разузнаване и сигурност, не става ясно каква информация са се опитали да получат хакерите.
Последните разследвания на атаката предполагат, че свързаната с Китай кампания се е стремяла да получи постоянен достъп до отбранителните индустрии на западните държави. Не се разбира обаче дали всички жертви са били страни от НАТО или между тях има друга връзка.
В изявлението на Нидерландия се посочва още, че подобно на много хакери, кампанията COATHANGER е била насочена към „крайните устройства“ като защитни стени, VPN сървъри, маршрутизатори и имейл сървъри, които свързват дадена система с по-широката мрежа. То също така обяснява, че тъй като уязвимост от типа „ден – първи“ е трудно да се предвиди, правителството насърчава да се приеме принципа на „предполагаема хакерска атака“. Това означава, че трябва да предположи, че съществува първоначален пробив и да предприеме мерки за ограничаване на щетите.
Многобройни източници са установили, че зад най-мащабните операции за онлайн влияние в света стоят подкрепяни от Китай участници, свързани с китайското разузнаване и органите на реда.
В началото на тази година от американското разузнаване обявиха, че са ликвидирали китайски зловреден софтуер, известен като Volt Typhoon. Той е бил инсталиран на стотици устройства и е застрашавал жизненоважна американска инфраструктура, включително системи за водоснабдяване, енергетика, петрол и контрол на въздушното движение.
