COATHANGER-Malware in FortiGate-Geräten (Fortinet)
Veröffentlicht: 1. Mai 2024 von René
Dieser Bericht wurde gemeinsam von den niederländischen Geheimdiensten MIVD und AIVD veröffentlicht. Eine dazugehörige Pressemitteilung ist auf der Webseite des niederländischen Verteidigungsministeriums zu finden. Den vollständigen Bericht können Sie hier herunterladen.
Überblick
- Im Jahr 2023 wurde das niederländische Verteidigungsministerium (MOD) Opfer eines Netzwerkangriffs. Durch vorherige Netzwerksegmentierung waren die Auswirkungen begrenzt.
- Bei der Untersuchung wurde eine bisher unbekannte Malware entdeckt, ein Remote Access Trojaner (RAT) speziell für FortiGate-Geräte, genannt COATHANGER.
- COATHANGER ist besonders unauffällig und hartnäckig, übersteht Neustarts und Firmware-Updates.
- MIVD und AIVD sind sich sicher, dass der Angriff von einem staatlich unterstützten Akteur aus der Volksrepublik China stammt. Dies ist Teil eines größeren Trends chinesischer politischer Spionage.
- FortiGate-Nutzer sollten die in Abschnitt 4 des Berichts beschriebenen Erkennungsmethoden anwenden. Weitere Präventionstipps finden sich in Abschnitt 5.
Vorfall beim Verteidigungsministerium der Niederlande
Das niederländische Verteidigungsministerium war 2023 Ziel eines Netzwerkangriffs. Dank der Segmentierung des betroffenen Netzwerks, das weniger als 50 Nutzer umfasste und für Forschung und Entwicklung diente, blieben die Auswirkungen begrenzt. Beteiligte Drittorganisationen wurden informiert.
Zuschreibung
MIVD und AIVD gehen davon aus, dass der Angriff und die Entwicklung der Malware von einem staatlich unterstützten Akteur aus China durchgeführt wurden. Dies ist Teil eines größeren Trends chinesischer Spionage gegen die Niederlande und deren Verbündete.
Akteurstätigkeiten
Chinesische Bedrohungsakteure scannen systematisch nach Schwachstellen in internetbasierten Geräten und nutzen diese aus, oft noch am Tag der Veröffentlichung. In diesem Fall erfolgte der Zugang durch die Ausnutzung der CVE-2022-42475-Schwachstelle in FortiGate-Geräten. Anschließend wurde die COATHANGER-Malware heruntergeladen und installiert.
COATHANGER-Malware für FortiGate-Geräte
Bei der Untersuchung entdeckte der MIVD einen Remote Access Trojaner (RAT) auf einem FortiGate-Gerät, das für den ersten Zugriff verwendet wurde. Die Malware, COATHANGER, ist hartnäckig und übersteht Neustarts sowie Firmware-Updates. Sie tarnt sich, indem sie Systemaufrufe manipuliert, die ihre Anwesenheit verraten könnten.
Merkmale der COATHANGER-Malware
COATHANGER verbindet sich regelmäßig mit einem Command-and-Control-Server über SSL und bietet Zugang über eine BusyBox-Reverse-Shell. Es ist schwierig zu entdecken, da es sich durch das Hooken von Systemaufrufen versteckt. MIVD und AIVD gehen davon aus, dass die Malware gezielt eingesetzt wird.
Verhalten der Malware
COATHANGER besteht aus mehreren Komponenten, die zusammenarbeiten, um den Zugriff und die Persistenz auf dem infizierten Gerät zu gewährleisten.
Erkennungsmethoden
Es wurden mehrere Methoden zur Erkennung von COATHANGER entwickelt, darunter YARA-Regeln, JA3-Hashes, CLI-Befehle und Netzverkehrsheuristiken. Diese Methoden sind auf GitHub verfügbar.
Ratschläge zur Eindämmung und zum Schutz
Falls COATHANGER entdeckt wird, sollten die betroffenen FortiGate-Geräte sofort isoliert und forensische Analysen durchgeführt werden. Die Malware übersteht Firmware-Upgrades, daher muss das Gerät formatiert und neu konfiguriert werden.
Den Bericht der niederländischen Geheimdienste herunterladen