今年2月,荷蘭國家網路安全中心(NCSC)、軍事情報暨安全局(MIVD)、情報暨安全總局(AIVD)聯手,針對中國資助的駭客從事的網路間諜攻擊行動公布調查結果,這些駭客鎖定FortiGate防火牆、網頁安全閘道FortiProxy的SSL VPN漏洞CVE-2022-42475(CVSS風險評為9.8分),並對防火牆設備植入名為Coathanger的RAT木馬程式,MIVD持續進行調查而於本週正式揭露這起攻擊的受害規模,其實遠遠超出先前的發現。

先前這些荷蘭軍情機構指出,根據他們的調查,受害用戶(user)的數量不到50個,其中一個受害組織是荷蘭國防部,所幸因受害網路環境與他們的主要網路環境有所區隔,使得入侵行動的衝擊不致於擴大。當時他們研判,對方的目標是國防部非機密專案的研發部門,以及2個外部的合作研究機構,但MIVD進一步追查發現,有數十個西方國家的政府機關、國防工業相關企業,以及國際組織受害。

他們指出,駭客在Fortinet發布修補程式前的2個月就開始利用漏洞,有1.4萬臺設備受到感染,從2022年至2023年,對方至少掌握逾2萬臺FortiGate防火牆的存取權限。但實際的受害規模,這些軍情機構認為很有可能還會更大,他們研判駭客會藉此漏洞入侵數百個組織,從而進行竊取資料等攻擊行動。

而對於駭客使用的惡意程式Coathanger,MIVD指出,即使他們已經公布相關調查結果,IT人員還是難以識別及清除,因此,對方很可能仍然能夠存取大量的受害系統。

值得留意的是,MIVD特別提到,一旦受害設備被植入Coathanger,攻擊者就能永久存取系統,即使IT人員部署了更新程式,對方仍保有相關存取權限。這樣的情況,也導致防守端在因應相關的攻擊時,將面臨更加嚴峻的挑戰。

熱門新聞

Advertisement