Kelompok peretas China yang dicurigai telah dikaitkan dengan serangkaian serangan terhadap organisasi pemerintah yang mengeksploitasi kerentanan zero-day Fortinet (CVE-2022-41328) untuk menyebarkan malware.
Cacat keamanan memungkinkan pelaku ancaman menyebarkan muatan malware dengan mengeksekusi kode atau perintah tidak sah pada perangkat firewall FortiGate yang belum ditambal, seperti Fortinet diungkapkan minggu lalu.
Analisis lebih lanjut mengungkapkan bahwa penyerang dapat menggunakan malware untuk spionase dunia maya, termasuk eksfiltrasi data, mengunduh dan menulis file di perangkat yang disusupi, atau membuka cangkang jarak jauh saat menerima paket ICMP yang dibuat dengan jahat.
Salah satu insiden diketahui saat perangkat FortiGate milik pelanggan dimatikan FIPS kesalahan terkait integritas firmware, menjadikannya tidak dapat dioperasikan.
Perangkat berhenti melakukan booting untuk mencegah infiltrasi jaringan, praktik standar untuk sistem yang mendukung FIPS. Firewall disusupi menggunakan eksploit traversal jalur FortiGate CVE-2022-41328, dan penutupannya secara bersamaan menyebabkan Fortinet mencurigai serangan tersebut berasal dari perangkat FortiManager.
Perusahaan mengatakan ini adalah serangan yang sangat ditargetkan terhadap jaringan pemerintah dan organisasi besar, dengan penyerang juga menampilkan “kemampuan canggih”, termasuk merekayasa balik sistem operasi perangkat FortiGate.
“Serangan itu sangat ditargetkan, dengan beberapa petunjuk tentang target yang disukai pemerintah atau yang terkait dengan pemerintah,” kata Fortinet.
Eksploitasi membutuhkan pemahaman mendalam tentang FortiOS dan perangkat keras yang mendasarinya. Implan khusus menunjukkan bahwa aktor tersebut memiliki kemampuan canggih, termasuk merekayasa balik berbagai bagian FortiOS.
Tautan ke mata-mata dunia maya China
Baru Laporan Mandian mengatakan serangan itu terjadi pada pertengahan 2022 dan mengaitkannya dengan grup ancaman perhubungan China yang dilacak perusahaan sebagai UNC3886.
“Korban terbaru operator spionase China termasuk DIB, pemerintah, telekomunikasi, dan teknologi,” kata CTO Mandiant Charles Carmakal.
“Mengingat betapa sulitnya mereka ditemukan, sebagian besar organisasi tidak dapat mengidentifikasi mereka sendiri. Tidak jarang kampanye China berakhir sebagai gangguan selama bertahun-tahun.”
Saat bersama-sama menyelidiki insiden tersebut dengan Fortinet, Mandiant menemukan bahwa, setelah menembus perangkat Fortinet, UNC3886 melakukan backdoor menggunakan dua jenis malware baru untuk melanjutkan akses ke jaringan korban: backdoor Thincrust berbasis Python dan backdoor pasif Castletap yang mengetuk port ICMP .
Pelaku ancaman awalnya mengakses perangkat FortiManager yang dapat diakses dari Internet sebelum mengeksploitasi kelemahan zero-day CVE-2022-41328 untuk menulis file yang memungkinkan mereka bergerak secara lateral melalui jaringan.
Setelah mendapatkan persistensi pada perangkat FortiManager dan FortiAnalyzer melalui pintu belakang Thincrust, grup tersebut menggunakan skrip FortiManager untuk mem-backdoor beberapa firewall FortiGate menggunakan Castletap.
Selanjutnya, penyerang terhubung ke penyebaran mesin ESXi dan vCenter Pintu belakang VirtualPita dan VirtualPie untuk mempertahankan cengkeraman mereka pada hypervisor dan mesin tamu yang dikompromikan, memastikan aktivitas jahat mereka tidak akan terdeteksi.
Pada perangkat yang dikonfigurasi untuk membatasi akses dari Internet, penyerang memasang pengalih lalu lintas (Tableflip) dan pintu belakang pasif (Reptil) setelah berputar dari firewall FortiGate yang sebelumnya di-backdoor menggunakan Castletap.
“Kami yakin penargetan perangkat ini akan terus menjadi teknik utama bagi kelompok spionase yang mencoba mengakses target yang sulit,” kata Ben Read, Head of Mandiant Cyber Spionage Analysis di Google Cloud.
“Ini karena mereka dapat diakses dari internet yang memungkinkan aktor untuk mengontrol waktu intrusi, dan dalam kasus perangkat dan router VPN – sejumlah besar koneksi masuk reguler membuat pencampuran menjadi lebih mudah.”
