De Militaire Inlichtingen- en Veiligheidsdienst (MIVD) heeft geavanceerde Chinese malware bij de krijgsmacht ontdekt. De malware installeerde een achterdeurtje, waardoor de Chinese overheid kon meekijken.
De militaire inlichtingendienst maakt voor het eerst een dergelijk technisch rapport openbaar. Ze stellen dat de ontdekte malware in een op zichzelf staand systeem zat dat intussen is uitgezet. Het ging om een systeem voor ongerubriceerde Research and Development (R&D). De malware leidde verder niet tot schade aan het netwerk van Defensie, maar de inlichtingendienst vindt het belangrijk dat de kennis beschikbaar komt.
De Chinese malware wordt ingezet bij systemen (FortiGate) van het bedrijf Fortinet. Hiermee kunnen computergebruikers op afstand werken. Fortinet levert wereldwijd deze cyberbeveiliging.
“De MIVD kiest er voor het eerst voor om een technisch rapport over de werkwijze van Chinese hackers openbaar te maken. Het is belangrijk om dergelijke spionageactiviteiten van China te attribueren”, aldus minister Kajsa Ollongren van Defensie. “Zo verhogen we de internationale weerbaarheid tegen dit soort cyberspionage.”
De MIVD en AIVD troffen tijdens een incident response onderzoek een nieuwe Remote Access Trojan (RAT) malware aan. Deze RAT is een gerichte persistente malware die buiten het zicht van traditionele detectiemaatregelen opereert. Het is specifiek voor FortiGate-apparaten ontwikkeld.
Een ander kenmerk is dat deze malware geen toegang wil verkrijgen tot systemen maar om toegang te behouden. De aanvankelijke toegang was te verkrijgen door de kwetsbaarheid in FortiGate met het kenmerk CVE-2022-42475 te misbruiken. Het NCSC schaalde deze kwetsbaarheid in december 2022 al in als hoge kans en hoge impact.
Duiding
De MIVD en AIVD stellen dat deze aanval past binnen een bredere trend. Zowel het NCSC als partnerorganisaties zien een trend in het misbruik van kwetsbaarheden in publiek benaderbare edge devices zoals firewalls, VPN-servers, en e-mailservers. Edge devices zijn een interessant doelwit omdat deze componenten zich aan de rand van het netwerk bevinden en geregeld een directe verbinding hebben met het internet.
Edge devices worden vaak niet ondersteund door Endpoint Detection and Response (EDR) oplossingen. Dit maakt malafide of afwijkend gedrag moeilijk te detecteren.
Achterdeurtje
De aangetroffen malware installeerde een ‘achterdeurtje’ door gebruik te maken van een bekende kwetsbaarheid in FortiGate-apparaten. De publicatie van de MIVD beschrijft dus géén nieuwe kwetsbaarheid in alle FortiGate apparaten.
De MIVD vraagt organisaties die deze malware aantreffen, om zich te melden bij het NCSC. Zo kan de Chinese spionagecampagne stoppen.
Lees ook:
- Eerste volledig offline gegevensoverdracht door Constantijn van Oranje op CES
- On Premise: voordelen en overwegingen
