De Algemene en Militaire Inlichtingen- en Veiligheidsdienst (AIVD en MIVD) hebben tijdens een incident response onderzoek bij het ministerie van Defensie Chinese malware aangetroffen. De kwaadaardige software installeerde een achterdeurtje door misbruik te maken van een bekende kwetsbaarheid in FortiGate-apparatuur. Het Nationaal Cyber Security Centrum (NCSC) legt uit welke maatregelen systeembeheerders hiertegen kunnen nemen.
De MIVD waarschuwt in een blog voor de Chinese spionagepraktijken.
Verhogen van internationale weerbaarheid tegen cyberspionage
De AIVD en MIVD troffen de nieuwe Remote Access Trojan (RAT) aan tijdens een incident response onderzoek. Volgens het NCSC gaat het om “gerichte persistente malware die buiten het zicht van traditionele detectiemaatregelen opereert” en specifiek voor apparatuur van Fortinet is ontwikkeld. Een ander kenmerk van de kwaadaardige software is dat hij niet is gemaakt om toegang te verkrijgen tot systemen, maar om toegang te behouden. Daarvoor creëert hij een achterdeurtje in kwetsbare FortiGate-apparatuur.
De MIVD benadrukt dat China dit type malware gebruikt voor spionage op computernetwerken. De malafide software werd vorig jaar bij de krijgsmacht op een losstaand netwerk aangetroffen. Dit netwerk werd gebruikt voor ongerubriceerde R&D doeleinden. “Doordat dit systeem op zichzelf stond, leidde dit niet tot schade aan het netwerk van Defensie”, aldus de militaire inlichtingendienst.
Het is de eerste keer dat de MIVD een technisch rapport over de werkwijze van Chinese hackers openbaar maakt. “Het is belangrijk om dergelijke spionageactiviteiten van China te attribueren. Zo verhogen we de internationale weerbaarheid tegen dit soort cyberspionage”, zo zegt demissionair minister van Defensie Kajsa Ollongren.
NCSC: ‘Edge devices steeds vaker doelwit van hackers’
Het NCSC deelt op haar website details over het incident en kenmerken van de malware. Hackers slaagden er aanvankelijk in om toegang te krijgen tot het computernetwerk van Defensie door gebruik te maken van een kwetsbaarheid in FortiGate-apparatuur. Het gaat om CVE-2022-42475, een zeroday waarmee een niet-geauthenticeerde aanvaller op afstand een willekeurige code of opdracht kan uitvoeren. De kwetsbaarheid kreeg een CVSS-score van 9.8 en werd destijds door het NCSC ingeschaald als kritiek.
Het Nationaal Cyber Security Centrum stelt dat de Chinese malware past binnen een bredere trend waarbij hackers kwetsbaarheden in edge devices misbruiken, zoals firewalls, VPN-servers en e-mailservers.
“Edge devices vormen een interessant doelwit omdat deze componenten zich aan de rand van het netwerk bevinden en geregeld een directe verbinding hebben met het internet. Edge devices worden vaak niet ondersteund door Endpoint Detection and Response (EDR) oplossingen. Dit maakt dat malafide of afwijkend gedrag moeilijk te detecteren is”, aldus het NCSC.
Zo ontdek en verhelp je de kwetsbaarheid in FortiGate-apparatuur
In een tien pagina’s tellend technische Security Advisory legt het NCSC in detail uit hoe de Chinese malware werkt en welke maatregelen bedrijven kunnen nemen. Gebruikt jouw organisatie FortiGate-apparatuur en wil je weten of je door deze kwetsbaarheid bent getroffen? Dan is het verstandig om een risicoanalyse uit te voeren op edge devices en na te gaan of er functionaliteiten zijn toegevoegd. Daarnaast is het verstandig om toegang tot het internet voor edge devices te beperken door ongebruikte poorten en functionaliteiten uit te schakelen.
Verder adviseert het NCSC om regelmatig netwerkactiviteiten te monitoren. Inlogpogingen op vreemde tijdstippen, onbekende (buitenlandse) IP-adressen en ongeautoriseerde configuratiewijzingen kunnen erop duiden dat hackers hebben proberen in te breken op het bedrijfsnetwerk. Het NCSC raadt aan om logbestanden naar een beveiligde en separate omgeving te sturen om zo de integriteit ervan te waarborgen.
Tot slot geeft het NCSC als tip mee om de meest recente beveiligingsupdates zo snel mogelijk te installeren, en hard- en software te vervangen als deze niet langer wordt ondersteund door de leverancier.
Update (7 februari 2024): een woordvoerder van de Chinese ambassade in Nederland ontkent dat Chinese hackers malware hebben geïnstalleerd op FortiGate-apparatuur van de krijgsmacht. “China verzet zich altijd krachtig tegen cyberaanvallen in alle vormen en pakt deze hard aan in overeenstemming met de wet. We zullen niet toestaan dat landen of individuen die gebruik maken van Chinese infrastructuur zich bezighouden met dergelijke illegale activiteiten”, aldus de woordvoerder in een reactie.
Verder zegt hij: “Cybersecurity is een gemeenschappelijke uitdaging voor alle landen. China verzet zich tegen kwaadaardige speculaties en ongegronde beschuldigingen. We handhaven gezamenlijk de bescherming van cybersecurity door middel van dialoog en samenwerking.”
