De Militaire Inlichtingen- en Veiligheidsdienst (MIVD) van Nederland heeft vandaag gewaarschuwd dat de impact van een eerder dit jaar onthulde Chinese cyberspionagecampagne “veel groter is dan eerder bekend was”.
Exploitatie van Kwetsbaarheid in FortiGate-apparaten
Volgens de MIVD hebben de Chinese hackers in een gezamenlijk rapport van de MIVD en de Algemene Inlichtingen- en Veiligheidsdienst (AIVD), gepubliceerd in februari, gedurende meerdere maanden tussen 2022 en 2023 een kritieke kwetsbaarheid in FortiOS/FortiProxy (CVE-2022-42475) benut. Deze kwetsbaarheid stelde de aanvallers in staat om malware te implementeren op kwetsbare FortiGate-netwerkbeveiligingsapparaten.
“Gedurende deze periode van ‘zero-day’ heeft de dader slechts 14.000 apparaten geïnfecteerd. De doelwitten waren tientallen (westerse) regeringen, internationale organisaties en een groot aantal bedrijven in de defensie-industrie”, zei de MIVD.
Impact op netwerken van het Nederlandse Ministerie van Defensie
De malware, bekend als Coathanger, werd ook gevonden op een netwerk van het Nederlandse Ministerie van Defensie dat werd gebruikt voor onderzoeks- en ontwikkelingsprojecten (R&D) die niet-geclassificeerd waren. Door de segmentatie van het netwerk werden de aanvallers echter geblokkeerd en konden zij niet verder doordringen in andere systemen.
De MIVD ontdekte dat deze eerder onbekende malwarestam in staat was om herstarts van het systeem en firmware-updates te overleven. Deze malware werd door een door de Chinese staat gesponsord hackersteam ingezet in een politieke spionagecampagne gericht op Nederland en zijn bondgenoten.
“Dit gaf de staatshandelaar permanente toegang tot de systemen. Zelfs als een slachtoffer beveiligingsupdates voor FortiGate installeert, blijft de staatshandelaar toegang houden”, voegde de MIVD eraan toe.
Wereldwijde toegang tot FortiGate-systemen
Sinds februari heeft de militaire inlichtingendienst vastgesteld dat de Chinese dreigingsgroep toegang heeft verkregen tot ten minste 20.000 FortiGate-systemen over de hele wereld tijdens 2022 en 2023. Deze toegang werd ten minste twee maanden vóór de bekendmaking van de kwetsbaarheid CVE-2022-42475 door Fortinet bereikt.
De MIVD is van mening dat de Chinese hackers nog steeds toegang hebben tot veel van deze systemen, omdat de malware Coathanger moeilijk te detecteren en te verwijderen is vanwege het vermogen om systeemoproepen te onderscheppen en firmware-updates te overleven.
Vergelijkbare aanvallen en aanbevelingen
Deze aanvalscampagne vertoont veel overeenkomsten met een andere Chinese hackercampagne gericht op ongepatchte SonicWall Secure Mobile Access (SMA)-apparaten met cyberespionage malware ontworpen om firmware-updates te weerstaan.
De Nederlandse inlichtingendiensten en het Nationaal Cybersecurity Centrum (NCSC) achten het waarschijnlijk dat de staatshandelaar zijn toegang tot honderden slachtoffers wereldwijd kan uitbreiden en aanvullende activiteiten kan uitvoeren, zoals gegevensdiefstal.