Фортинет Зеро

Участники угроз кибершпионажа продолжают атаковать технологии, которые не поддерживают решения для обнаружения и реагирования на конечных точках (EDR), такие как межсетевые экраны, устройства IoT, гипервизоры и технологии VPN (например, Fortinet, SonicWall, Pulse Secure и другие). За прошедшие годы компания Mandiant расследовала десятки вторжений на оборонно-промышленную базу (DIB), правительственные, технологические и телекоммуникационные организации, где подозреваемые группы, связанные с Китаем, использовали уязвимости нулевого дня и развертывали специальное вредоносное ПО для кражи учетных данных пользователей и обеспечения долгосрочного доступа. в среду жертвы.

Мы часто наблюдаем, как операторы кибершпионажа используют уязвимости нулевого дня и развертывают специальное вредоносное ПО в системах, доступных в Интернете, в качестве первоначального вектора атаки. В этом сообщении блога мы описываем сценарии, в которых предполагаемый злоумышленник из Китая, вероятно, уже имел доступ к средам жертвы, а затем развертывал бэкдоры в решениях Fortinet и VMware в качестве средства обеспечения постоянного доступа к средам. Это включало использование локальной уязвимости нулевого дня в FortiOS (CVE-2022-41328) и развертывание нескольких пользовательских семейств вредоносных программ в системах Fortinet и VMware. Mandiant опубликовал подробную информацию об экосистеме вредоносного ПО VMware в сентябре 2022 года.

В середине 2022 года Mandiant в сотрудничестве с Fortinet исследовала использование и развертывание вредоносного ПО в нескольких решениях Fortinet, включая FortiGate (межсетевой экран), FortiManager (решение для централизованного управления) и FortiAnalyzer (платформа управления журналами, аналитики и отчетности). Следующие шаги обычно описывают действия, предпринятые злоумышленником:

Mandiant приписывает эту активность UNC3886, группе, которая, как мы подозреваем, имеет связь с Китаем и связана с новой вредоносной средой гипервизора VMware ESXi, раскрытой в сентябре 2022 года. Во время взлома гипервизора ESXi Mandiant заметила, что UNC3886 напрямую подключается к FortiGate и FortiManager. устройства к бэкдорам VIRTUALPITA неоднократно.

Mandiant подозревала, что устройства FortiGate и FortiManager были скомпрометированы из-за подключений к VIRTUALPITA с IP-адресов управления Fortinet. Кроме того, устройства FortiGate с включенным режимом соответствия федеральным стандартам обработки информации (FIPS) не загружались после последующей перезагрузки. При включенном режиме FIPS контрольная сумма операционной системы сравнивается с контрольной суммой чистого образа. Поскольку операционная система была изменена злоумышленником, сравнение контрольных сумм не удалось, и брандмауэры FortiGate не смогли запуститься. При содействии Fortinet компания Mandiant получила криминалистическое изображение этих неисправных устройств, что привело к обнаружению порта ICMP, выбивающего бэкдор CASTLETAP.

UNC3886 подвергся воздействию нескольких компонентов экосистемы Fortinet, прежде чем они были перенесены в инфраструктуру VMWare. Эти компоненты и связанные с ними версии на момент компрометации перечислены следующим образом:

Компания Mandiant наблюдала два различных жизненных цикла атак, в которых злоумышленник злоупотреблял технологиями Fortinet для получения доступа к сети. Первый произошел, когда злоумышленник первоначально получил доступ к экосистеме Fortinet, в то время как устройство FortiManager было подключено к Интернету.

Как видно на рис. 1, в ходе жизненного цикла этой атаки на устройствах FortiAnalyzer и FortiManager были развернуты бэкдоры, замаскированные под законные вызовы API (THINCRUST). После того как постоянство было установлено на двух устройствах, сценарии FortiManager использовались для развертывания бэкдоров (CASTLETAP) на устройствах FortiGate. Mandiant наблюдал SSH-соединения от устройств Fortinet к серверам ESXi, за которыми следовала установка вредоносных установочных пакетов vSphere, содержащих VIRTUALPITA и Бэкдоры VIRTUALPIE. Это обеспечило злоумышленнику постоянный доступ к гипервизорам и позволило злоумышленнику выполнять команды на гостевых виртуальных машинах.

На момент написания этой статьи у Mandiant нет доказательств того, что уязвимость нулевого дня использовалась для получения первоначального доступа или развертывания вредоносных VIB. VIRTUALPITA и VIRTUALPIE более подробно обсуждались в предыдущем сообщении блога Mandiant, опубликованном в сентябре 2022 года.