중국 해커가 전 세계에 있는 2만여 대의 Forti Gate 시스템에 침입하고 있다고 네덜란드 정부의 군사정보안전보안국이 경고

중국 해커가 전 세계에 있는 2만여 대의 Forti Gate 시스템에 침입하고 있다고 네덜란드 정부의 군사정보안전보안국이 경고

2024년 2월 네덜란드 군 정보보안국(MIVD)과 종합정보보안국(AIVD)이 중국 정부의 지원을 받은 해커가 네덜란드 국방부 등에서 사용되는 차세대 방화벽 'FortiGate'의 네트워크에 침입했다고 보고했습니다. 이후 조사 결과 MIVD는 약 2만대의 기기가 중국 해커들에 의해 피해를 입었다고 밝혔습니다.

MIVD에 따르면, 중국의 해커는 2022년부터 2023년에 걸친 수개월간, FortiGate를 작동시키기 위한 OS인 FortiOS나 FortiProxy에 존재한 취약성 「CVE-2022-42475」를 악용해, FortiGate의 네트워크 시큐러티 어플라이언스에 COATHANGER라고 하는 맬웨어(악성 코드)를 전개했다고 합니다.

수십 개의 서방 정부나 국제기관, 다수의 방위산업에 관한 기업 등의 표적 네트워크에 침입한 COATHANGER는 자동적으로 백도어 설치를 실행합니다.

중국 사이버 스파이가 네덜란드 군사 네트워크에 접속했다고 첩보기관이 공표한 바 있는데, 네덜란드의 군 정보보안국(MIVD)과 종합정보보안국(AIVD)은 2024년 2월 6일, 중국의 사이버 스파이 활동의 ​​증거가 되는 고급 중국제 악성코드가 2023년에 발견되었다고 발표했습니다.  

2024년 2월의 보고 이후도 MIVD와 AIVD는 조사를 계속해, 「중국의 사이버 스파이 활동은 지금까지 알려져 있던 것보다 훨씬 광범위에 미치고 있는 것이 밝혀졌습니다」라고 보고한바 있습니다. 구체적으로는, CVE-2022-42475의 악용으로부터 2023년 1월의 Fortinet에 의한 공표까지, COATHANGER는 약 1만 4000대의 디바이스에 감염되었으며, 공표 후에도 공격자는 패치를 적용하지 않은 디바이스에 공격을 계속해, 2022년부터 2023년에 걸친 수개월간 적어도 2만대의 FortiGate 시스템에 접근한 것으로 알려져 있습니다.

MIVD에 의하면, COATHANGER는 스캔으로부터 맬웨어(악성 코드)의 존재를 은닉하는 스텔스성과, 재기동이나 펌웨어의 업데이트에 견딜 수 있는 계속성을 갖추고 있다고 합니다. 따라서 일단 COATHANGER의 침입을 허용하면 삭제가 어렵습니다. MIVD는 「COATHANGER가 침입하면, 중국 정부는 FortiGate 시스템에의 항구적인 접속이 가능하게 됩니다. 설령 피해자가 FortiGate로부터 시큐러티 업데이트를 인스톨 했다고 해도, 중국 정부는 피해자의 디바이스에의 액세스를 유지하는 것이 가능합니다」라고 분석하고 있습니다.

또, "실제로 COATHANGER를 인스톨 하고 있는 피해자의 수는 불분명합니다. 네덜란드 첩보기관과 사이버보안기관인 NCSC는 중국 정부의 지원을 받은 해커들이 공격 범위를 더 확대하고 데이터 절취 등 추가 행동을 실행할 가능성이 있다고 보고 있습니다"고 말했습니다.

외신 The Stack은 "감염된 FortiGate 디바이스에서 COATHANGER를 제거하는 유일한 방법은 디바이스를 포맷하고 재설치하고 재구성하는 것"이라고 말했습니다. 네덜란드 국방부는 "COATHANGER를 검출하기 위한 YARA 룰, JA3 핑거프린트 등의 방법을 특정하고 있습니다"라고 보고했습니다.

*재미있거나 도움이 되셨다면 '구독' 꾹 눌러 주시기를 부탁드립니다. 늘 행복하세요.

 

Aanhoudende statelijke cyberspionagecampagne via kwetsbare edge devices | Nieuwsbericht | Nationaal Cyber Security Centrum
https://www.ncsc.nl/actueel/nieuws/2024/juni/10/aanhoudende-statelijke-cyberspionagecampagne-via-kwetsbare-edge-devices

20,000 Fortinet devices breached – reboots no defence
https://www.thestack.technology/20-000-fortinet-devices-breached-by-chinese-hackers-reboots-firmware-updates-no-defence/

Chinese hackers breached 20,000 FortiGate systems worldwide
https://www.bleepingcomputer.com/news/security/chinese-hackers-breached-20-000-fortigate-systems-worldwide/