Het Ministerie van Defensie ontdekte in 2023 dat het via malware door China bespied werd. De schade lijkt beperkt te zijn gebleven, maar de MIVD en AIVD stellen dat Chinese staatsactoren zich veelvuldig op Nederland en diens bondgenoten richten.
De malware is COATHANGER gedoopt door de twee Nederlandse veiligheidsdiensten. Een infiltratie door China werd in 2023 ontdekt bij een netwerk van minder dan 50 gebruikers. Het doel van dit netwerk was om R&D-projecten in samenwerking met twee onderzoeksinstituten mogelijk te maken. Volgens Defensie is de schade beperkt gebleven omdat het netwerk gesegmenteerd was.
Initiële toegang werd verworven door het exploiteren van een inmiddels wat oudere kwetsbaarheid: CVE-2022-42475. Dit betreft een buffer overflow-bug in FortiOS, het besturingssysteem van FortiGate-firewalls. Fabrikant Fortinet spoorde deze kwetsbaarheid eind 2022 op, waarna het mitigatiestappen begin 2023 deelde. De aanvallers bleven ongedetecteerd, mede door het verduisteren van de eigen verbinding.
COATHANGER aan de slag
Vervolgens downloadde men via een andere host de daadwerkelijke COATHANGER-malware, dat specifiek wordt geclassificeerd als een Remote Access Trojan (RAT). Defensie omschrijft deze malafide software als “heimelijk en volhardend”, onder meer omdat het reboots en firmware-upgrades overleeft. Welke kwetsbaarheid dan ook van FortiGate-apparatuur zou in principe een installatie van COATHANGER mogelijk kunnen maken.
Tip: Phishing-campagne verspreidt malware via Microsoft Teams
De aanvaller voerde vervolgens een verkenning uit op het R&D-netwerk en exfiltreerde een lijst aan accounts van de Active Directory-server. Om deze informatie door te spelen maakte COATHANGER periodiek contact met een C2 (Command & Control)-server. Deze activiteit is dus niet zomaar uit te roeien, waardoor het lastig is om te bepalen of FortiGate-apparatuur daadwerkelijk getroffen is. Wel wordt in de security advisory aangegeven dat deze malware lang niet overal geïnstalleerd zal zijn door de aanvallers. Immers vergroot dat de ontdekkingskans, en dus koos men ervoor om doelgericht te werk te gaan. “De Chinese staatsactor scant voor kwetsbare edge-devices op grote schaal en verkrijgt op opportune wijze toegang, maar men introduceert COATHANGER waarschijnlijk als communicatiekanaal voor selecte slachtoffers.”
Onder edge-devices dienen onder meer firewalls, VPN-servers en e-mailservers verstaan te worden, zoals de NCSC aangeeft.
Het opsporen van COATHANGER blijkt overigens niet eenvoudig. System calls die het bestaan ervan zouden verraden, worden vervangen.
Hoewel niet veel details worden gedeeld over de aard van de aanvallers, benadrukken de AIVD en MIVD dat het incident niet op zichzelf staat. Met andere woorden: de succesvolle (doch beperkte) infiltratie in een overheidsnetwerk moet gezien worden als deel van een breder initiatief om bij Nederlandse overheidsinstanties en elders binnen te dringen. Demissionair minister van Defensie Kajsa Ollongren beaamt dit. “Ik denk dat we ervan uit moeten gaan dat dit breder gebeurt, in Nederland maar ook in andere landen. Het is dus een reëel risico waar we ons tegen moeten weren.”
Advies voor anderen
“We brengen het naar buiten om anderen te waarschuwen,” stelt de minister. De overheid heeft een lijst aan beveiligingsmaatregelen aangeraden, die zowel in de security advisory als op de NCSC-website na te lezen zijn. Een risicoanalyse op edge-devices tijdens belangrijke wijzigingen, het beperken van internettoegang voor deze apparatuur en het offline houden van de management-interface worden als eerste aangehaald. Daarnaast raadt men regelmatige analyses aan die verdachte activiteit detecteren.
Het volgende punt, het installeren van de meest recente patches, bleek in dit geval dus niet voldoende te zijn om de voortdurende infiltratie te stoppen. Wel voorkomen organisaties daarmee nieuwe infiltraties. Hoe dan ook moet niet meer ondersteunde hardware en software zo snel mogelijk vervangen worden.
Hoe dan ook geldt dat het voortdurend patchen van firewalls bijzonder belangrijk is. Evenals geldt dat Fortinet vaak getroffen wordt door nieuwe gevaren. Zo bleek FortiSIEM onlangs twee nieuwe kritieke kwetsbaarheden te bevatten, hoewel exploits nog niet bekend zijn. Het bedrijf patcht wel voortdurend en is er veelal snel bij.
1 dag geleden
