持续的国家支持网络间谍活动通过易受攻击的边缘设备进行

新闻稿 | 2024年6月10日 | 12:00

今年早些时候，荷兰国家网络安全中心（NCSC）与荷兰军事情报和安全局（MIVD）以及荷兰总情报和安全局（AIVD）合作，发布了一份关于针对FortiGate系统的高级COATHANGER恶意软件的报告。MIVD继续对相关的中国网络间谍活动进行调查，结果证明该活动范围远比之前承认的要广泛。为此，NCSC呼吁对此活动及边缘设备漏洞利用保持高度警惕。为支持这项工作，NCSC制定了一份情况说明书，详细介绍了边缘设备的相关信息、相关挑战和建议。

更广泛的COATHANGER活动

自2月份报告发布以来，MIVD对相关的中国网络间谍活动进行了额外研究。研究表明，通过利用影响FortiGate设备的漏洞，该国家行为体在2022年和2023年的几个月内全球范围内至少访问了2万台FortiGate设备。进一步调查表明，该国家行为体在漏洞CVE-2022-42475披露前至少两个月就已知道该漏洞。仅在这个零日期间，就有1.4万台设备被该国家行为体入侵。目标包括数十个西方政府和外事机构以及许多在国防工业运营的公司。

如果目标被认为相关，该国家行为体随后会在后期阶段安装恶意软件。这使得行为体能够永久访问系统，即使受害者安装了FortiGate更新。

目前尚不清楚在此初始阶段被入侵的这些FortiGate设备中有多少实际上遭受了该国家行为体的后续操作。然而，荷兰情报和安全部门以及NCSC认为，黑客可能能够扩大访问权限并执行额外操作，例如数据盗窃，可能影响全球数百名受害者。

即使发布了关于COATHANGER恶意软件的技术报告，检测和缓解该国家行为体的感染仍然具有挑战性。因此，荷兰情报和安全部门以及NCSC认为，该行为体目前可能继续访问大量受害者的系统。

缓解与边缘设备相关的风险

NCSC和荷兰情报和安全部门观察到针对边缘设备（如防火墙、VPN服务器、路由器和电子邮件服务器）的攻击趋势。由于与这些设备相关的安全挑战，它们已成为恶意行为者的主要目标。边缘设备位于IT网络的外围，通常直接连接到互联网，并且经常不受端点检测和响应（EDR）解决方案的支持。

如果行为者利用零日漏洞，IT网络的初始入侵很难防止。因此，组织采用"假设已失陷"原则非常重要，该原则承认成功的数字攻击已经发生或即将发生。基于此原则，采取措施减轻损害和影响，包括实施分段、检测、事件响应计划和取证准备。

NCSC的情况说明书《管理边缘设备》详细阐述了与使用边缘设备相关的进一步挑战和数字威胁，并为组织有效应对每个挑战提供了具体的可操作见解。

出版物

• 情况说明书《管理边缘设备》
• 情况说明书 | 2024年6月10日