De zogeheten COATHANGER-malware blijkt voor een veel grotere spionagecampagne te zijn ingezet dan eerder gedacht. In 2022 en 2023 verkreeg de staatsactor toegang tot ten minste 20.000 FortiGate-systemen.
Eerder dit jaar onthulden de MIVD en AIVD details over de COATHANGER-malware, dat in 2023 binnendrong bij een netwerk bedoeld voor R&D-projecten in samenwerking met het Ministerie van Defensie. Daarbij exploiteerden Chinese aanvallers kwetsbaarheid CVE-2022-42475 in FortiOS, het besturingssysteem van FortiGate-firewalls. Demissionair minister Ollongren zei de informatie te delen om andere partijen te waarschuwen.
Tip: Hoe Chinese cyberspionnen toesloegen bij Defensie
Grote campagne
CVE-2022-42475 werd ruim twee maanden misbruikt voordat Fortinet het publiekelijk bekend maakte. Circa 14.000 apparaten werden in deze periode geëxploiteerd, waarna het totaal opliep tot meer dan 20.000 FortiGate-systemen wereldwijd. “Onder doelwitten zijn onder meer tientallen (westerse) overheden, internationale organisaties en een groot aantal bedrijven binnen de defensie-industrie,” laat het NCSC-bericht van 10 juni weten.
Na de compromissen installeerde de statelijke actor malware bij “relevante doelwitten” voor permanente toegang. Om hoeveel doelwitten het gaat, is niet bekend. Het NCSC herhaalt dat deze malafide toegang ook overeind bleef na het installeren van nieuwe Fortinet-patches. Dit was al bekend, maar gezien de schaal van de campagne is de impact hiervan tevens aanzienlijker dan eerder gedacht. Zelfs het uitvoerige advies over COATHANGER is veelal niet genoeg: “Het NCSC en de Nederlandse inlichtingendiensten stellen daarom dat het waarschijnlijk is dat de statelijke actor op dit moment nog steeds toegang heeft tot systemen van een significant aantal slachtoffers.”
Edge devices-advies
Om verder leed te voorkomen, komt het NCSC met het kennisproduct “Omgaan met edge devices: Vijf uitdagingen en adviezen bij het gebruik van edge devices”. Dit document omschrijft uitdagingen bij het gebruik van firewalls, VPN-servers, routers, SMTP-servers en meer. Ook zijn er vijf adviezen die draaien om zicht op het gebruik van edge devices. Hoewel het regelmatig laagdrempelige zaken zijn, vraagt het NCSC nadrukkelijk om extra aandacht zodat COATHANGER niet tot verdere problemen leidt.
Centraal staat de aanname dat je als organisatie al getroffen bent, ook wel het ‘assume breach’-principe. Mitigerende maatregelen als segmentering, detectie, incident response-plannen en ‘forensic readiness’ worden daarbij aangehaald. Laatstgenoemde legt NCSC-Security Specialist Wim van Ruijven uitgebreid uit in een expertblog.
Lees ook: Gevoelige metadata Cisco Webex was ‘kinderlijk eenvoudig’ te vinden, maar hoe?