Zusammenfassung des Berichts des niederländischen Verteidigungsministeriums über die COATHANGER-Malware

Dieser Bericht wurde gemeinsam von den niederländischen Geheimdiensten MIVD und AIVD veröffentlicht. Eine dazugehörige Pressemitteilung ist auf der Webseite des niederländischen Verteidigungsministeriums zu finden. Den vollständigen Bericht können Sie hier herunterladen.

{frontmatter.image.alt}

Überblick

  • Im Jahr 2023 wurde das niederländische Verteidigungsministerium (MOD) Opfer eines Netzwerkangriffs. Durch vorherige Netzwerksegmentierung waren die Auswirkungen begrenzt.
  • Bei der Untersuchung wurde eine bisher unbekannte Malware entdeckt, ein Remote Access Trojaner (RAT) speziell für FortiGate-Geräte, genannt COATHANGER.
  • COATHANGER ist besonders unauffällig und hartnäckig, übersteht Neustarts und Firmware-Updates.
  • MIVD und AIVD sind sich sicher, dass der Angriff von einem staatlich unterstützten Akteur aus der Volksrepublik China stammt. Dies ist Teil eines größeren Trends chinesischer politischer Spionage.
  • FortiGate-Nutzer sollten die in Abschnitt 4 des Berichts beschriebenen Erkennungsmethoden anwenden. Weitere Präventionstipps finden sich in Abschnitt 5.

Vorfall beim Verteidigungsministerium der Niederlande

Das niederländische Verteidigungsministerium war 2023 Ziel eines Netzwerkangriffs. Dank der Segmentierung des betroffenen Netzwerks, das weniger als 50 Nutzer umfasste und für Forschung und Entwicklung diente, blieben die Auswirkungen begrenzt. Beteiligte Drittorganisationen wurden informiert.

Zuschreibung

MIVD und AIVD gehen davon aus, dass der Angriff und die Entwicklung der Malware von einem staatlich unterstützten Akteur aus China durchgeführt wurden. Dies ist Teil eines größeren Trends chinesischer Spionage gegen die Niederlande und deren Verbündete.

Akteurstätigkeiten

Chinesische Bedrohungsakteure scannen systematisch nach Schwachstellen in internetbasierten Geräten und nutzen diese aus, oft noch am Tag der Veröffentlichung. In diesem Fall erfolgte der Zugang durch die Ausnutzung der CVE-2022-42475-Schwachstelle in FortiGate-Geräten. Anschließend wurde die COATHANGER-Malware heruntergeladen und installiert.

COATHANGER-Malware für FortiGate-Geräte

Bei der Untersuchung entdeckte der MIVD einen Remote Access Trojaner (RAT) auf einem FortiGate-Gerät, das für den ersten Zugriff verwendet wurde. Die Malware, COATHANGER, ist hartnäckig und übersteht Neustarts sowie Firmware-Updates. Sie tarnt sich, indem sie Systemaufrufe manipuliert, die ihre Anwesenheit verraten könnten.

Merkmale der COATHANGER-Malware

COATHANGER verbindet sich regelmäßig mit einem Command-and-Control-Server über SSL und bietet Zugang über eine BusyBox-Reverse-Shell. Es ist schwierig zu entdecken, da es sich durch das Hooken von Systemaufrufen versteckt. MIVD und AIVD gehen davon aus, dass die Malware gezielt eingesetzt wird.

Verhalten der Malware

COATHANGER besteht aus mehreren Komponenten, die zusammenarbeiten, um den Zugriff und die Persistenz auf dem infizierten Gerät zu gewährleisten.

Erkennungsmethoden

Es wurden mehrere Methoden zur Erkennung von COATHANGER entwickelt, darunter YARA-Regeln, JA3-Hashes, CLI-Befehle und Netzverkehrsheuristiken. Diese Methoden sind auf GitHub verfügbar.

Ratschläge zur Eindämmung und zum Schutz

Falls COATHANGER entdeckt wird, sollten die betroffenen FortiGate-Geräte sofort isoliert und forensische Analysen durchgeführt werden. Die Malware übersteht Firmware-Upgrades, daher muss das Gerät formatiert und neu konfiguriert werden.

Den Bericht der niederländischen Geheimdienste herunterladen