MIVD vindt Chinese spionagesoftware op Fortinet-systeem van krijgsmacht

Geen zorgen, als wij het niet weten weten hun het ook niet

Verwacht dat de prioriteiten mogelijk ergens anders ligt waardoor in dit geval niet gepatched is, budgetten etc etc zal vast ook een ding zijn; zoals altijd.

Slecht is het zeker, vooral als het makkelijk voorkomen had kunnen worden, maar mogelijk waren hun al infected voordat hun een patch hebben uitgebracht waardoor het systeem inmiddels wel up-to-date is maar nog wel infected omdat dit eerder is gebeurd?

[Reactie gewijzigd door ilaurensnl op 22 juli 2024 19:39]

Misschien heeft Defensie wel in November gepatched, maar hebben de Chinezen daarvoor al persistent access kunnen krijgen, waardoor ze ook ná de patch nog actief konden zijn.

Er staat namelijk nergens dat er niet tijdig gepatched is, alleen via welke kwetsbaarheid ze zijn binnen gekomen.

Het is niet uncommon dat staatsactoren dit soort kwetsbaarheden al veel langer kennen en misbruiken.

Voor hetzelfde geld was het systeem op het moment van uitbrengen van de patch al geïnfecteerd.

Dat is niet uit dit artikel te halen of uit de link bij het artikel (de bekendmaking).

Het is dus 1 van 2 (of een deel van beide):
- het heeft meer dan 15 maanden geduurd voordat er gepatched is
- het heeft meer dan 15 maanden geduurd voordat er een security-check gedaan is op dat netwerk.

Beiden is natuurlijk om te janken.

Dacht je dat ze dit vorige week hebben ontdekt? In het rapport staat dat ze 'in 2023' besmet zijn geraakt, dus er is eerst onderzoek gedaan, alles weer dicht gezet en nu gemeld. Ik denk niet dat veiligheidsdiensten en instanties als defensie heel snel dit soort dingen melden voordat de onderste steen boven is en alles weer veilg is (of zo veilig als kan).

Het nieuws vermeld dat het om een onderzoeksnetwerk gaat. Er valt prima voor te stellen dat defensie onderzoek doet naar de mogelijkheden en effecten van bekende kwetsbaarheden. Bijvoorbeeld om zichzelf en anderen beter te kunnen beschermen met behulp van inzichten in wat tegenstanders uitvoeren. Daarbij lees ik ook niet dat ze hoe dan ook al kwetsbare systemen hadden. Als het een onderzoeksnetwerk is kun je als eigenaar van het netwerk een onbedoelde besmetting waarschijnlijk ook wat makkelijker gebruiken om juist verder onderzoek te doen door een kwetsbaar systeem bij te plaatsen.

Ik ben het volledig met je eens dat als er geen onderzoeksdoel was dit soort belangrijke beveiligingslekken op tijd gepatched horen te zijn om een goede basisbeveiliging te hebben. Maar ik lees niet dat dit soort doel er niet was.

[Reactie gewijzigd door kodak op 22 juli 2024 19:39]

Misschien werd het systeem in de gaten gehouden om te kijken wie er eventueel interesse voor had. Dat ga je niet in een rapport zetten.

Hebben wij ( 2pers plus 1 directeur ) ook gedaan in 2007 en deel 2008. Uiteindelijk iemand gepakt; was een in 2006-2007 kort ingehuurde die vlak voordat we het wilden afsluiten terug kwam voor een opdracht en te nieuwsgierig was om te kijken of het nog werkte. Hadden het systeem apart gezet achter een router die 24u in de gaten gehouden werd.

[...]

Is het patchbeleid bij Defensie zo slecht op orde? Is dit iets incidenteels, of iets structureels? Want je gaat dan toch twijfelen welke lekken er nog meer open staan bij Defensie.

Het patchbeleid is eigenlijk behoorlijk goed zelfs, een stuk beter dan wat ik gewend ben van de private sector.

Maar hoe kom jij er bij dat dit een recente hack is? Misschien treed Defensie nu pas naar buiten.

Als ik het goed begrijp is de RAT geinstalleerd door die RCE uit 2022, maar na het patchen blijft de RAT op 't device staan. Dus het kan best zijn dat defensie/MIVD die bug uit 2022 snel heeft gedicht, maar omdat defensie/MIVD natuurlijk een high profile target is is hier misschien een zero-day gebruikt.

De RAT is dus mogelijk *voor* December 2022 al geplaatst, daarna is 't device gepatched, maar firmware upgrades ruimen 't niet op.

er staat niks over wanneer defensie dit gedicht heeft. We weten alleen dat de RIVD dat nu naar buiten brengt. Het naar buiten brengen is waarschijnlijk een heel proces van beslissingen. Als je een beetje op de links klikt: "De MIVD trof de malware vorig jaar bij de krijgsmacht aan op een losstaand computernetwerk"
Wanneer vorig jaar is niet bekend gemaakt. Misschien is dat hele losse netwerk wel helemaal niet in actief gebruik. Ik praat niks goed, maar ik praat ook niks fout!

Waar staat dan dat het daar meer dan een jaar lang aanwezig was op die infra dan? En dat ze een jaar lang geen patches hebben geïnstalleerd? Of is dat wat jij zelf uit de tekst denkt op te maken en staat er dat in algemene zin over de Malware in een voltooid verleden tijd.

Hier zakt mijn broek van op de enkels. Hoe kan het dat een instantie als nota bene Defensie, meer dan een jaar lang een reeds bekend, en gepatched door de leverancier, lek niet dicht?

Het komt nu pas naar buiten, maar volgens het MIVD is dit al vorig jaar gevonden.

De MIVD trof de malware vorig jaar bij de krijgsmacht aan op een losstaand computernetwerk

Dat ze het nu melden, betekent denk ik niet dat ze het de dag er voor hebben ontdekt. Ik denk dat er een hoop valt af te dingen op dat 'jaar'.

Ik lees niet dat Defensie de patch niet direct heeft uitgevoerd. Ik lees alleen dat er sinds november 2022 een patch bestaat. Ik ga ervan uit dat de malware daarvoor is geinstalleerd en nu pas gevonden is, wat aangeeft dat ze het incident response onderzoek wat frequenter mogen uitvoeren.

Het gedeelte 'losstaand systeem' trok ook mijn interesse. Ik dacht eerst dat het om een air-gapped netwerk zou gaan, maar waarschijnlijk wordt bedoelt dat dit netwerk niet in contact is met andere netwerken (met vetrouwelijke informatie). Dan hoeft het er dus niet bewust op zijn gezet, maar kan zich verspreiden via (internet)netwerktoegang, of fysiek verbonden apparatuur.

Ik ben niet genoeg thuis in malware om hier technisch een uitspraak over te doen, maar iets als Stuxnet verbreidde zich ook ongeremd, met als doel uiteindelijk op de juiste plek terecht te komen. Mogelijk is het doel van dergelijke malware dan ook niet dit specifieke netwerk, maar een ander interessanter netwerk(en).

Al helemaal als deze malware bedoelt is om bestaande remote access te onderhouden, wat ik uit het Nu.nl artikel kon halen, dan is het wel bedenkelijk dat dit lek niet tijdig is gedicht én de behorende onderzoeken zijn verricht om na te gaan of deze is misbruikt, zoals @wildhagen ook terecht opmerkt.

Nu.nl: "Met dit systeem kunnen computergebruikers veilig en beschermd op afstand werken." Dit lijkt me systemen die een gateway kunnen zijn als toegang tot andere netwerken, maar gezien er weinig informatie bekend is (op Tweakers en Nu.nl in ieder geval), ben ik ook aan het gissen.

Wat betreft verantwoordelijke politici zonder daadwerkelijk benu van IT zijn veralgemeniserende en niet-informerende uitspraken kenmerkend.

Er staat nergens dat het nu pas gepatcht is, ze delen nu alleen het onderzoek.
Misschien is het lek wel misbruikt voor de patch er was.

"belangrijk is om dergelijke spionageactiviteiten van China te attribueren" is inderdaad een heel erg vage omschrijving.

Vanuit mijn werk heb ik me enigszins bezig gehouden met attributie van cyberincidenten, en ik kan je vertellen dat het geen simpel proces is. Ik heb ook even naar het document gekeken dat AIVD en MIVD naar buiten hebben gebracht, maar ik zie geen concrete reden waarom attributie in dit geval naar China wijst. Het meest concrete in het verslag (link verslag hierover is:
1. "MIVD & AIVD assess with high confidence that the intrusion at the MOD, as well as the development of the malware described in this report, was conducted by a state-sponsored actor from the People’s Republic of China."
2. "Chinese threat actors are known to perform wide and opportunistic scanning campaigns for both published (n-day) as well as unpublished (0-day) software vulnerabilities on internet-facing (edge) devices."

De reden lijkt dus een soort onderbuik gevoel te zijn, gecombineerd met het feit dat China in het verleden schijnbaar vaker gebruik heeft gemaakt van recent gepubliceerde vulnerabilities.

Deze vulnerability werd overigens al gexploiteerd voor de release van de CVE (aldus de security advisory). Feit is dus ook dat we kunnen vaststellen dat defensie minimaal een halve maand (tot maximaal een jaar) gewacht heeft met het patchen van deze kritieke kwetsbaarheid. Als je even googled naar het exploit nummer vind je de code voor de exploit ook al (zeker sinds Maart 2023) op GitHub. In feite kan dus iedere script kiddie met een beetje kennis van shells een dergelijke exploit uitvoeren zodra ze een kwetsbaar systeem hebben gevonden.

Normaliter zou er om attributie naar China te kunnen maken, ook sprake moeten zijn van andere indicatoren. Dat het past binnen de modus operandi van China wil ik de AIVD en de MIVD op de blauwe ogen geloven, dit wordt ook onderschreven door andere actoren. Dit is echter ook de modus operandi van een cybercriminelen.

Wat voor motivatie heeft China om specifiek Nederland, en dan specifiek deze server aan te vallen? Zijn er andere technische indicatoren die richting China wijzen, zoals het hergebruik van infrastructuur die ook gebruikt is bij eerdere aanvallen door Chinese actoren? De complexiteit van COATHANGER is wellicht iets dat richting een nation state kan wijzen, maar ik heb te weinig informatie om daarover te oordelen.

Al met al vind ik het verwijt richting China een beetje voorbarig, al kan ik ook begrijpen dat de inlichtingendiensten dit verwijt maken op basis van additionele informatie die ze niet in het verslag hebben gezet.

Goede bronnen als mensen meer willen weten over het attributie proces is hier te vinden:
- Attributie model

[Reactie gewijzigd door TheAncientDovah op 22 juli 2024 19:39]

Losstaand hoeft niet te betekenen dat het niet met andere netwerken cq internet verbonden is, maar dat het geen andere netwerken van de krijgsmacht raakt.
Dat zullen ze ongetwijfeld doen maar niet over communiceren.

Volgens het verslag dat de AIVD en de MIVD naar buiten hebben gebracht overleeft de malware firmware patches als de infectie voor de patch plaatsvond. De vulnerability werd mid-december 2022 bekend gemaakt, en er is dus minimaal een halve maand tot een jaar verstreken tussen bekendmaking en infectie gezien de infectie in 2023 plaatsvond.

Mwa honeypots zijn toch niet echt alu hoedje materiaal? Of dit hier wel of niet aan de hand is terzijde, een honey pot is natuurlijk wel een slimme manier om e.e.a. te ontdekken van een andere partij?

Alarmbellen af laten gaan als een stukje code of versie wordt gedetecteerd die volgens een specifiek lijstje 'onveilig' zou zijn zonder te bepalen of in de bredere context die onveiligheden geëxploiteerd kunnen worden geeft altijd een hoop herrie maar zelden betekenisvolle securityverbetering. Je kan nog steeds grote issues hebben zelfs als die scanners op groen staan.