De MIVD (Militaire Inlichtingen- en Veiligheidsdienst) en AIVD (Algemene Inlichtingen- en Veiligheidsdienst) hebben laten weten dat er naar aanleiding van een incident response onderzoek bij een defensieonderdeel van de Nederlandse overheid malware is aangetroffen.

De malware is ‘COATHANGER’ genoemd, Chinese malware die gevonden is op een aantal FortiGate firewall-apparaten. “Het incident benadrukt een trend waarin statelijke actoren interesse tonen in publiek benaderbare edge devices zoals firewalls, VPN-servers en e-mailservers,” zo schrijft onze CISO op het portal voor FERM-participanten. Onderstaande bericht vat de belangrijkste conclusies van de publicatie samen en biedt handelingsperspectief die organisaties kunnen nemen om de risico’s van edge devices te beperken.

Het hele bericht van AIVD/MIVD lees je hier.

Achtergrondinformatie

Begin 2023 ontdekt het Ministerie van Defensie een hack van één van haar netwerken. Het betrof een netwerk bedoeld voor onderzoek waarop geen geclassificeerde informatie aanwezig was. De impact van de digitale aanval is door de toepassing van netwerksegmentatie beperkt gebleven.

Tijdens het onderzoek naar het incident treffen de MIVD & AIVD een nieuwe Remote Access Trojan (RAT) aan. Dit is een type malware waardoor kwaadwillenden op afstand het apparaat over kunnen nemen. Over deze RAT is niet eerder publiekelijk gepubliceerd en is volgens de MIVD & AIVD specifiek voor Fortigate-apparaten ontwikkeld. Deze RAT is een gerichte malware die buiten het zicht van traditionele detectiemaatregelen opereert. COATHANGER wordt gebruikt om toegang te houden tot het netwerk voor communicatie, niet om toegang te verkrijgen. De malware blijft daarnaast aanwezig wanneer de getroffen Fortigate-apparaten opnieuw worden opgestart of gepatcht worden met nieuwe firmware.

Initiële toegang is verkregen door de kwetsbaarheid in FortiGate met het kenmerk CVE-2022-42475 te misbruiken. Het NCSC heeft deze kwetsbaarheid in december 2022 ingeschaald als High/High. De MIVD & AIVD stellen dat deze digitale activiteiten passen in een bredere trend van Chinese digitale spionage gericht op politieke en strategische doelwitten.

Het NCSC ziet een aanhoudende trend in misbruik van kwetsbaarheden in publiek benaderbare edge devices zoals firewalls, VPN-servers en e-mailservers. Dergelijke edge devices vormen een interessant doelwit voor actoren, omdat deze componenten zich aan de rand van het netwerk bevinden en meestal een directe verbindingen hebben met het internet. Doordat edge devices van nature niet ondersteund worden door Endpoint Detection and Reponse (EDR) oplossingen, kunnen edge devices een blinde vlek zijn, die buiten de detectie van organisaties vallen. Dit maakt het moeilijk om afwijkend of malafide gedrag te detecteren.

Wat is het advies?

De publicatie van de MIVD & AIVD biedt een analyse over werking van COATHANGER-malware en beschrijft diverse beveiligingsmaatregelen. Maak gebruik van de in de publicatie beschreven indicatoren om de aanwezigheid van COATHANGER op het systeem te detecteren en waar nodig te mitigeren. De technische indicatoren zijn ook gedeeld middels het Nationaal Detectie Netwerk (NDN).

Verder raadt het NCSC aan om de onderstaande maatregelen toe te passen om de bredere risico’s van edge devices te beheersen:

  • Voer regelmatig een risicoanalyse uit op edge devices. Bijvoorbeeld wanneer u extra of nieuwe functionaliteiten toevoegt;
  • Beperk toegang tot het internet van edge devices door ongebruikte poorten en functionaliteiten uit te schakelen. Maak daarnaast de management-interface niet toegankelijk vanaf het internet.
  • Voer regelmatig analyses uit op uw logging om afwijkende activiteit te detecteren. Denk hierbij op inlog-pogingen op rare tijdstippen of onbekende (buitenlandse) IP-adressen of ongeautoriseerde configuratiewijzigingen.
  • Stuur logging door naar een beveiligde, separate omgeving zodat de integriteit van de logging gewaarborgd blijft.
  • Installeer de meest recente beveiligingsupdates zo snel mogelijk wanneer deze beschikbaar worden gesteld door de leverancier. Maak daarnaast gebruik van hardening-maatregelen die door leveranciers beschikbaar worden gesteld. Vervang hard- en software die niet meer ondersteund wordt door de leverancier.
  • Indien u sporen van een COATHANGER-infectie of compromittatie van edge devices vindt, meld dit dan bij het NCSC via cert@ncsc.nl.

Sluit je aan bij FERM

Blijf alert. Installeer patches en let op phishing mails. Gebruik MFA. En -voor alle bedrijven in de Rotterdamse haven- sluit je aan bij FERM. Zodat je daarnaast ook acute dreigingsinformatie kunt ontvangen en vragen kunt stellen aan de vertrouwde community om je heen. Dat blijkt in de praktijk erg nuttig te zijn voor bedrijven van klein naar groot, van mkb (zonder eigen IT) tot aan de grote multinationals.

Kijk voor meer informatie op ferm-rotterdam.nl/lid-worden.
Aan deelname is altijd een kosteloze proefperiode verbonden.

Vind FERM ook op LinkedIn | Twitter

Deel dit bericht