Chinesische staatlich unterstützte Hacker haben ein Computernetzwerk der niederländischen Streitkräfte infiltriert, indem sie eine Schwachstelle in Fortinet FortiGate-Geräten ausnutzten. Dieses Netzwerk wurde für unklassifizierte Forschungs- und Entwicklungsaktivitäten genutzt, wie der niederländische Militärische Nachrichten- und Sicherheitsdienst (MIVD) mitteilte. Da das System isoliert war, führte der Vorfall zu keinem Schaden im Verteidigungsnetzwerk. Das betroffene Netzwerk hatte weniger als 50 Nutzer.
Der Angriff, der 2023 stattfand, nutzte eine bekannte kritische Sicherheitslücke in FortiOS SSL-VPN (CVE-2022-42475, CVSS-Wert: 9.3), die es einem nicht authentifizierten Angreifer ermöglicht, über speziell gestaltete Anfragen beliebigen Code auszuführen.
Der erfolgreiche Einsatz der Schwachstelle ebnete den Weg für die Implementierung eines Backdoors namens COATHANGER von einem server des Angreifers, der darauf ausgelegt ist, dauerhaften Fernzugriff auf die kompromittierten Geräte zu ermöglichen.
Das COATHANGER-Malware ist unauffällig und hartnäckig; es versteckt sich, indem es Systemaufrufe, die seine Anwesenheit aufdecken könnten, abfängt. Es überlebt Neustarts und Firmware-Upgrades.
Dies ist das erste Mal, dass die Niederlande öffentlich eine Cyber-Spionagekampagne China zugeschrieben haben. Der Vorfall wurde nur wenige Tage nachdem die US-Behörden Maßnahmen ergriffen hatten, um ein Botnetz aus veralteten Cisco- und NetGear-Routern zu demontieren, das von chinesischen Bedrohungsakteuren genutzt wurde, bekannt.