Chinesische staatlich unterstützte Hacker sind in ein Computersystem eingedrungen, das von den niederländischen Streitkräften genutzt wird, indem sie Fortinet FortiGate-Geräte ins Visier genommen haben.
„Dieses [Computersystem] wurde für unklassifizierte Forschung und Entwicklung (F&E) verwendet“, erklärte der niederländische Militärische Nachrichten- und Sicherheitsdienst (MIVD) in einer Erklärung. „Da dieses System abgeschottet war, wurde dadurch kein Schaden am Verteidigungsnetzwerk verursacht.“ Das Netzwerk hatte weniger als 50 Benutzer.
Der Angriff, der im Jahr 2023 stattfand, nutzte eine bekannte kritische Sicherheitslücke in FortiOS SSL-VPN (CVE-2022-42475, CVSS-Score: 9.3) aus, die einem nicht authentifizierten Angreifer ermöglicht, beliebigen Code über speziell präparierte Anfragen auszuführen.
Die erfolgreiche Ausnutzung der Lücke ebnete den Weg für die Bereitstellung eines Backdoors namens COATHANGER von einem von den Angreifern kontrollierten Server, das darauf abzielt, dauerhaften Remote-Zugriff auf die kompromittierten Geräte zu gewähren.
„Der COATHANGER-Malware ist heimtückisch und persistent“, sagte das Niederländische Nationale Cybersecurity-Zentrum (NCSC). „Sie tarnt sich, indem sie Systemaufrufe abfängt, die ihre Anwesenheit aufdecken könnten. Sie überlebt Neustarts und Firmware-Upgrades.“
COATHANGER unterscheidet sich von BOLDMOVE, einem weiteren Backdoor, das mit einer mutmaßlichen chinesischen Bedrohungsakteur in Verbindung gebracht wird und bereits im Oktober 2022 die Schwachstelle CVE-2022-42475 ausgenutzt hat, um einen Zero-Day-Angriff auf eine europäische Regierungseinrichtung und einen IT-Dienstleister (MSP) in Afrika durchzuführen.
Die Veröffentlichung stellt das erste Mal dar, dass die Niederlande öffentlich eine Cyber-Spionagekampagne China zugeschrieben haben. Laut Reuters, die die Geschichte veröffentlicht hat, ist die Malware nach einem Code-Snippet benannt, das eine Zeile aus der Kurzgeschichte „Lamb to the Slaughter“ des britischen Autors Roald Dahl enthielt.
Der Vorfall ereignet sich auch wenige Tage, nachdem US-Behörden Maßnahmen ergriffen haben, um ein Botnetz aus veralteten Cisco- und NetGear-Routern zu zerschlagen, das von chinesischen Bedrohungsakteuren wie Volt Typhoon genutzt wurde, um die Herkunft von bösartigem Datenverkehr zu verschleiern.