通过易受攻击的边缘设备进行的持续国家支持网络间谍活动 | 新闻条目 | 国家网络安全中心

今年早些时候，国家网络安全中心（NCSC）与荷兰军事情报和安全局（MIVD）及荷兰总情报和安全局（AIVD）合作，发布了一份关于针对FortiGate系统的高级COATHANGER恶意软件的报告。MIVD持续调查相关中国网络间谍活动，事实证明其范围远比此前承认的更为广泛。为此，NCSC呼吁提高对此活动及边缘设备漏洞利用的警惕。为支持这项工作，NCSC制定了一份情况说明书，详细介绍了边缘设备的信息、相关挑战和建议。

更广泛的COATHANGER活动

自2月份报告发布以来，MIVD对相关中国网络间谍活动进行了额外研究。研究显示，通过利用影响FortiGate设备的漏洞，该国家行为者在2022年和2023年的几个月内全球范围内至少访问了2万台FortiGate设备。进一步调查表明，该国家行为者至少在漏洞CVE-2022-42475披露前两个月就知晓该漏洞。仅在此零日期间，就有1.4万台设备被该国家行为者入侵。目标包括数十个西方政府和外交机构以及许多在国防工业运营的公司。

如果目标被认为相关，该国家行为者随后会在后期阶段安装恶意软件。这使得行为者即使受害者安装了FortiGate更新，也能永久访问系统。

目前尚不清楚在此初始阶段被入侵的FortiGate设备中有多少实际遭受了该国家行为者的后续操作。然而，荷兰情报和安全部门及NCSC认为，黑客可能能够扩大访问权限并执行额外操作，例如数据盗窃，可能影响全球数百名受害者。

即使发布了关于COATHANGER恶意软件的技术报告，检测和缓解该国家行为者的感染仍然具有挑战性。因此，荷兰情报和安全部门及NCSC认为，该行为者目前可能持续访问大量受害者的系统。

缓解与边缘设备相关的风险

NCSC和荷兰情报和安全部门观察到针对边缘设备（如防火墙、VPN服务器、路由器和电子邮件服务器）的攻击趋势。由于与这些设备相关的安全挑战，它们已成为恶意行为者的主要目标。边缘设备位于IT网络的外围，通常直接连接到互联网，且经常不受端点检测和响应（EDR）解决方案的支持。

如果行为者利用零日漏洞，初始入侵IT网络很难防止。因此，组织采用"假设已失陷"原则非常重要，该原则承认成功的数字攻击已经发生或即将发生。基于此原则，采取措施减轻损害和影响，包括实施分段、检测、事件响应计划和取证准备。

NCSC的情况说明书《管理边缘设备》详细阐述了与使用边缘设备相关的进一步挑战和数字威胁，并为组织有效应对每个挑战提供了具体的可操作见解。

出版物

• Factsheet Managing edge devices
  情况说明书 | 2024年6月10日