中国ハッカーが世界各地で20,000ものFortiGateシステムを侵害(CVE-2022-42475)
BleepingComputer – June 11, 2024
オランダ軍情報保安局(MIVD)は、今年2月に公表した中国グループによるサイバースパイキャンペーンの影響が「これまで知られていたよりも遥かに大きい」ことを報告。FortiOS/FortiProxyの重大なRCE脆弱性CVE-2022-42475の悪用を伴う同キャンペーンにおいて、このグループが2022年〜2023年の数か月間に世界中で少なくとも20,000件のFortinet FortiGateシステムへ不正にアクセスしていたことが発覚したのだという。
オランダ軍情報保安局(MIVD)が2月に公表した内容についてはこちらの記事で:中国ハッカーがオランダ国防省のネットワークに侵入
2月にMIVDが報告したスパイ攻撃はオランダ国防省を狙ったもので、CVE-2022-42475を悪用した攻撃者によって同省のFortiGateデバイスにマルウェア「Coathanger」が展開されていた。この攻撃は、2022〜2023年の同脆弱性が「ゼロデイ脆弱性」であった数か月の間に実施されたが、今年2月以降、MIVDは新たに、この期間だけでも14,000台のFortigateデバイスがCoathangerに感染していたことを発見したという。その標的には、西側諸国の政府組織や国際的組織のほか、防衛業界の企業多数が含まれているとされる。マルウェアをインストールされてしまった被害組織の正確な数は不明だが、オランダの諜報サービスや英NCSCの見立てでは、中国ハッカーによる不正アクセスは世界の数百組織へ拡大した恐れがあり、結果としてデータ窃取などのさらなるアクションが実施された可能性があるという。
2月の時点で判明していた通り、リモートアクセス型トロイの木馬であるCoathangerはシステムリブートやファームウェアアップデートを経ても残存できるほか、システムコールを傍受して自らの存在が暴かれるのを防ぐという高いステルス性能も有する。このためMIVDは、この中国ハッカーが今なお多数の被害組織へのアクセスを維持していると考えているとのこと。