De Militaire Inlichtingen- en Veiligheidsdienst (MIVD) heeft vorig jaar malware op een aantal FortiGate-apparaten van Defensie aangetroffen. Volgens de autoriteiten is er sprake van geavanceerde Chinese malware gebruikt voor spionagedoeleinden. De MIVD trof de malware vorig jaar bij de krijgsmacht aan op een losstaand computernetwerk. "Doordat dit systeem op zichzelf stond, leidde dit niet tot schade aan het netwerk van Defensie", aldus Defensie. Dat stelt dat het getroffen netwerk minder dan vijftig gebruikers had en zich. bezighield met research en development van ongeclassificeerde projecten en samenwerkt met twee externe onderzoekinstellingen, die inmiddels ook zijn ingelicht over het incident.
De aanvallers wisten via een bekende kwetsbaarheid (CVE-2022-42475) toegang tot de apparatuur te krijgen. Het gaat om een kritieke kwetsbaarheid in FortiOS SSL-VPN waarvoor Fortinet op 12 december 2022 waarschuwde. Het beveiligingslek werd als zeroday bij aanvallen ingezet, wat inhoudt dat erop het moment van de eerste aanvallen geen update voor beschikbaar was. Na het uitkomen van updates voor de kwetsbaarheid werd er nog steeds op grote schaal misbruik van gemaakt. De door de MIVD aangetroffen malware is volgens Defensie speciaal voor FortiGate-apparaten ontwikkeld en is bedoeld om toegang tot al gecompromitteerde apparaten te behouden.
"China gebruikt dit type malware voor spionage op computernetwerken. De malware wordt ingezet bij systemen (FortiGate) van het bedrijf Fortinet. Hiermee kunnen computergebruikers op afstand werken. Fortinet levert wereldwijd deze cyberbeveiliging", aldus Defensie. De MIVD heeft voor het eerst een technisch rapport over dergelijke malware openbaar gemaakt, die het 'Coathanger' noemt. De enige bekende manier om de Coathanger-malware te verwijderen is het formatteren van het apparaat en het opnieuw installeren en configureren.
"De MIVD kiest er voor het eerst voor om een technisch rapport over de werkwijze van Chinese hackers openbaar te maken. Het is belangrijk om dergelijke spionageactiviteiten van China te attribueren", aldus demissionair minister Kajsa Ollongren van Defensie. "Zo verhogen we de internationale weerbaarheid tegen dit soort cyberspionage." De MIVD vraagt organisaties die de malware op hun FortiGate-apparaten aantreffen, om zich te melden bij het Nationaal Cyber Security Centrum (NCSC). "Zo kan de Chinese spionagecampagne worden tegengegaan."
Om aanvallen via bekende kwetsbaarheden te voorkomen adviseert de MIVD het installeren van beveiligingsupdates zodra die beschikbaar komen. Ook wordt aangeraden om niet meer door de leverancier ondersteunde hard- en software te vervangen en toegang tot 'edge devices' te beperken door ongebruikte poorten en functionaliteiten uit te schakelen en de beheerinterface niet vanaf het internet toegankelijk te maken.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.