Chinesische Hacker gelangen in das niederländische Militärnetzwerk
Vom chinesischen Staat unterstützte Hacker sind in ein Computernetzwerk der niederländischen Streitkräfte eingedrungen. Als Einfallstor nutzten sie den Meldungen zufolge eine Schwachstelle in den FortiGate-Geräten von Fortinet.
Der niederländische Militärische Nachrichten- und Sicherheitsdienst (MIVD) erklärte, dass das Computernetzwerk, in dem der Einbruch erfolgte, für nicht klassifizierte Forschung und Entwicklung (F&E) genutzt wurde. Da es sich um ein geschlossenes System handelte und weniger als 50 Benutzer hatte, führte der Einbruch im Jahr 2023 zu keinerlei Schäden am Verteidigungsnetz.
Der Angriff nutzte eine bekannte kritische Sicherheitslücke in FortiOS SSL-VPN (CVE-2022-42475, CVSS-Score: 9.3), die es einem nicht authentifizierten Angreifer ermöglichte, durch speziell gestaltete Anfragen beliebigen Code auszuführen. Nach dem erfolgreichen Ausnutzen der Schwachstelle wurde von einem Server aus eine Hintertür eingespielt, die unter dem Namen COATHANGER bekannt ist. Diese ermöglichte einen dauerhaften Fernzugriff auf die kompromittierten Geräte.
Das niederländische National Cyber Security Centre (NCSC) beschrieb die COATHANGER-Malware als unauffällig und hartnäckig. Sie verbirgt sich, indem sie bestimmte Systemaufrufe unterbricht, die ihre Anwesenheit verraten könnten, und überlebt Neustarts und Firmware-Upgrades.
COATHANGER unterscheidet sich von BOLDMOVE, einer anderen Hintertür, die einem mutmaßlichen Bedrohungsakteur aus China zugeschrieben wird. Dieser hatte CVE-2022-42475 bereits im Oktober 2022 als Zero-Day ausgenutzt, um eine europäische Regierungseinrichtung und einen Managed Service Provider (MSP) in Afrika anzugreifen.
Das ist das erste Mal, dass die Niederlande öffentlich eine Cyberspionagekampagne China zuschreiben. Die Malware erhielt ihren Namen von einem Codeschnipsel aus „Lamm zum Schlachten“, einer Kurzgeschichte des britischen Schriftstellers Roald Dahl, berichtete die Nachrichtenagentur Reuters. Die Ankündigung erfolgte kurz nachdem die US-Behörden Maßnahmen ergriffen hatten, um ein Botnetz zu zerstören, das aus veralteten Cisco- und NetGear-Routern bestand. Diese Router wurden von chinesischen Bedrohungsakteuren wie Volt Typhoon genutzt, um die Herkunft des bösartigen Datenverkehrs zu verschleiern.
Letztes Jahr entdeckte das zu Google gehörende Unternehmen Mandiant, dass eine mit China verbundene Cyberspionagegruppe namens UNC3886 Sicherheitslücken in Fortinet-Geräten ausnutzte. Mit diesen Lücken wurden THINCRUST- und CASTLETAP-Implantate eingesetzt, um beliebige Befehle von einem entfernten Server aus auszuführen und sensible Daten abzufangen.