国家级支持的网络间谍活动通过脆弱边缘设备持续进行

事件概述

今年早些时候，荷兰国家网络安全中心（NCSC）与荷兰军事情报安全局（MIVD）及荷兰总情报安全局（AIVD）联合发布了一份关于针对FortiGate系统的高级COATHANGER恶意软件报告。MIVD持续调查相关中国网络间谍活动，发现其规模远超此前认知。

COATHANGER活动详情

自2月报告发布以来，MIVD对相关中国网络间谍活动进行了深入调查。研究显示：

• 攻击者利用FortiGate设备漏洞（CVE-2022-42475）在2022和2023年的数月内全球入侵至少20,000台设备
• 国家行为体在漏洞披露前至少两个月就已知晓该漏洞
• 仅在零日利用期间就入侵了14,000台设备
• 目标包括数十个西方政府、外交机构以及国防行业企业

攻击者在确定目标相关性后会在后期安装恶意软件，即使受害者安装了FortiGate更新，攻击者仍能保持系统永久访问权限。

持续威胁与检测挑战

尽管已发布COATHANGER恶意软件技术报告，检测和缓解国家行为体的感染仍然具有挑战性。荷兰情报机构和NCSC认为攻击者可能仍持续访问大量受害者的系统。

边缘设备安全风险

NCSC和荷兰情报机构观察到针对边缘设备（防火墙、VPN服务器、路由器和邮件服务器）的攻击趋势。由于这些设备的安全挑战：

• 位于IT网络边界，直接连接互联网
• 通常不受端点检测响应（EDR）解决方案支持
• 成为恶意行为体的主要目标

安全建议

组织应采用"假定已失陷"原则，承认成功的数字攻击已经发生或即将发生。基于此原则采取措施：

• 实施网络分段
• 加强检测能力
• 制定事件响应计划
• 提升取证准备度

NCSC发布的《管理边缘设备》事实清单详细说明了使用边缘设备的相关挑战和数字威胁，并为组织提供了具体的可操作建议。