Le Service de renseignement et de sécurité militaire néerlandais (MIVD) a averti aujourd’hui que l’impact d’une campagne de cyberespionnage chinoise dévoilée plus tôt cette année est « beaucoup plus important que ce que l’on savait auparavant. »
Comme le MIVD l’a révélé en février dans un rapport conjoint avec le Service Général de Renseignement et de Sécurité (AIVD), des pirates informatiques chinois ont exploité une vulnérabilité critique d’exécution de code à distance FortiOS/FortiProxy (CVE-2022-42475) pendant quelques mois entre 2022 et 2023 pour déployer des logiciels malveillants sur des appliances de sécurité réseau Fortigate vulnérables.
« Au cours de cette période dite du « jour zéro », l’acteur a infecté 14 000 appareils à lui seul. Les cibles comprennent des dizaines de gouvernements (occidentaux), des organisations internationales et un grand nombre d’entreprises de l’industrie de la défense », a déclaré le MIVD.
Le malware Coathanger remote access trojan (RAT) utilisé dans les attaques a également été trouvé sur un réseau du ministère néerlandais de la Défense utilisé dans la recherche et le développement (R&D) de projets non classifiés. Pourtant, en raison de la segmentation du réseau, les attaquants ont été empêchés de passer à d’autres systèmes.
Le MIVD a découvert que cette souche de malware jusque-là inconnue, qui pourrait survivre aux redémarrages du système et aux mises à niveau du micrologiciel, avait été déployée par un groupe de piratage parrainé par l’État chinois dans le cadre d’une campagne d’espionnage politique ciblant les Pays-Bas et ses alliés.
« Cela a donné à l’acteur étatique un accès permanent aux systèmes. Même si une victime installe des mises à jour de sécurité depuis FortiGate, l’acteur étatique continue de conserver cet accès », a ajouté le MIVD.
« On ne sait pas combien de victimes ont réellement installé des logiciels malveillants. Les services de renseignement néerlandais et le NCSC considèrent qu’il est probable que l’acteur étatique puisse potentiellement étendre son accès à des centaines de victimes dans le monde et mener des actions supplémentaires telles que le vol de données. »
Au moins 20 000 systèmes Fortigate ont été piratés
Depuis février, le service de renseignement militaire néerlandais a découvert que le groupe de menaces chinois avait eu accès à au moins 20 000 systèmes FortiGate dans le monde en 2022 et 2023 sur une période de quelques mois, au moins deux mois avant que Fortinet ne divulgue la vulnérabilité CVE-2022-42475.
Le MIVD pense que les pirates chinois ont toujours accès à de nombreuses victimes car le malware Coathanger est difficile à détecter car il intercepte les appels système pour éviter de révéler sa présence et est également difficile à supprimer car il survit aux mises à niveau du micrologiciel.
CVE-2022-42475 a également été exploité comme un jour zéro pour cibler les organisations gouvernementales et les entités connexes, comme l’a révélé Fortinet en janvier 2023.
Ces attaques présentent de nombreuses similitudes avec une autre campagne de piratage chinoise qui ciblait des appliances SonicWall Secure Mobile Access (SMA) non corrigées avec des logiciels malveillants de cyberespionnage conçus pour résister aux mises à niveau du micrologiciel.