هکرهای تحت حمایت دولت چین با سوء استفاده از یک نقص امنیتی بحرانی شناخته شده بین سالهای 2022 و 2023 (CVE-2022-42475)، به 20 هزار سیستم FortiGate در سراسر جهان نفوذ کردند.
این حملات، دهها سازمان دولتی غربی، بین المللی و تعداد زیادی از شرکتهای صنعت دفاعی را مورد هدف قرار دادند اما نام آنها فاش نشده است.
Fortinet در ماه فوریه ۲۰۲۴، اعلام کرد که یک گروه سایبری چینی به نام Volt Typhoon از دو آسیب پذیری FotiOS SSL VPN (CVE-2022-42475 و CVE-2023-27997) به منظور استقرار بکدور COATHANGER سوء استفاده کرده است. این بکدور قبلا نیز به منظور نفوذ به شبکه کامپیوتری نیروهای مسلح هلند استفاده شده بود.
بکدور COATHANGER از یک سرور تحت کنترل مهاجم نصب میگردد. این سرور، جهت برقراری دسترسی از راه دور به دستگاههای هک شده طراحی شده است.
به گفته NCSC، مهاجمان به منظور حفظ دسترسی خود، مدتها بعد از نفوذ اولیه، بدافزار مورد نظر را بر روی سیستم قربانی نصب کردند. با این حال هنور دقیقا مشخص نیست که چه تعداد دستگاه توسط این ایمپلنت مورد نفوذ قرار گرفته است.
سیستم FortiGate متصل به اینترنت، یک هدف محبوب برای هکرها به شمار میآید. به نظر میرسد که هکرهای چینی هنوز به قربانیان زیادی دسترسی دارند زیرا بدافزار Coathanger به سختی قابل شناسایی است و حذف آن نیز چالشهای مربوط به خود را دارد.
