Gli attori delle minacce di spionaggio informatico continuano a prendere di mira le tecnologie che non supportano le soluzioni di rilevamento e risposta degli endpoint (EDR), come i firewall, i dispositivi IoT, gli hypervisor e le tecnologie VPN (ad esempio Fortinet, SonicWall, Pulse Secure e altri). Nel corso degli anni Mandiant ha indagato su decine di intrusioni presso organizzazioni di difesa industriale (DIB), governative, tecnologiche e di telecomunicazione, in cui gruppi sospettati di essere legati alla Cina hanno sfruttato vulnerabilità zero-day e distribuito malware personalizzato per rubare le credenziali degli utenti e mantenere l’accesso a lungo termine agli ambienti delle vittime.
Spesso osserviamo operatori di cyberspionaggio che sfruttano le vulnerabilità zero-day e distribuiscono malware personalizzato sui sistemi esposti a Internet come vettore di attacco iniziale. In questo blog post, descriviamo scenari in cui un sospetto attore di minacce China-nexus probabilmente aveva già accesso agli ambienti delle vittime e poi ha implementato backdoor nelle soluzioni Fortinet e VMware come mezzo per mantenere l’accesso persistente agli ambienti. Ciò ha comportato l’utilizzo di una vulnerabilità zero-day locale in FortiOS (CVE-2022-41328) e l’implementazione di più famiglie di malware personalizzate sui sistemi Fortinet e VMware. Mandiant ha pubblicato i dettagli dell’ecosistema di malware VMware nel settembre 2022.
A metà del 2022, Mandiant, in collaborazione con Fortinet, ha indagato sullo sfruttamento e la distribuzione di malware su più soluzioni Fortinet, tra cui FortiGate (firewall), FortiManager (soluzione di gestione centralizzata) e FortiAnalyzer (piattaforma di gestione, analisi e reporting dei log). I passaggi seguenti descrivono in generale le azioni intraprese dall’attore della minaccia:
- Ha utilizzato un exploit zero-day di attraversamento delle directory locali (CVE-2022-41328) per scrivere file sui dischi del firewall FortiGate al di fuori dei normali limiti consentiti dall’accesso alla shell.
- Mantenuto l’accesso persistente con privilegi di super amministratore all’interno dei firewall FortiGate attraverso il blocco della porta ICMP.
- Ha aggirato le regole del firewall attive sui dispositivi FortiManager con un’utilità di reindirizzamento passivo del traffico, consentendo connessioni continue a backdoor persistenti con privilegi di Super Administrator.
- Stabilita la persistenza sui dispositivi FortiManager e FortiAnalyzer attraverso un endpoint API personalizzato creato all’interno del dispositivo.
- Disabilitato la verifica della firma digitale OpenSSL 1.1.0 dei file di sistema attraverso la corruzione mirata dei file di avvio.
- Mandiant attribuisce questa attività a UNC3886, un gruppo che sospettiamo abbia un legame con la Cina e sia associato al nuovo framework di malware per hypervisor VMware ESXi divulgato nel settembre 2022. All’epoca delle compromissioni dell’hypervisor ESXi, Mandiant ha osservato UNC3886 connettersi direttamente dai dispositivi FortiGate e FortiManager alle backdoor VIRTUALPITA in diverse occasioni.
Mandiant sospettava che i dispositivi FortiGate e FortiManager fossero compromessi a causa delle connessioni a VIRTUALPITA dagli indirizzi IP di gestione Fortinet. Inoltre, i dispositivi FortiGate con la modalità di conformità agli standard federali di elaborazione delle informazioni (FIPS) abilitata non si sono avviati dopo il successivo riavvio. Quando la modalità FIPS è abilitata, la somma di controllo del sistema operativo viene confrontata con quella di un’immagine pulita. Poiché il sistema operativo era stato manomesso dall’attore della minaccia, il confronto della checksum non è riuscito e i firewall FortiGate non sono riusciti ad avviarsi. Con l’assistenza di Fortinet, Mandiant ha acquisito un’immagine forense di questi dispositivi non funzionanti, che ha portato alla scoperta della backdoor ICMP port knocking CASTLETAP.
