MIVD: Chinese FortiGate-spionagecampagne is omvangrijker dan eerder gedacht

De Coathanger-malware die zich richtte op FortiGate-systemen van Fortinet, blijkt onderdeel te zijn van een brede en langdurige Chinese cyberspionagecampagne. Dat zegt de Militaire Inlichtingen- en Veiligheidsdienst, oftewel MIVD.

In 2022 en 2023 zijn minstens 20.000 Fortinet-systemen wereldwijd geïnfecteerd met een kwetsbaarheid met het kenmerk CVE-2022-42475. Dat maakt de MIVD bekend. De Chinese cyberspionagecampagne blijkt volgens de inlichtingendienst 'veel omvangrijker' te zijn dan eerder bekend was.

Uit onderzoek is gebleken dat de aanvallers twee maanden misbruik maakten van het lek, voordat Fortinet een beveiligingsupdate uitbracht. In die zerodayperiode werden 14.000 apparaten geïnfecteerd met de Coathanger-malware. Onder meer overheden en bedrijven binnen de defensie zijn getroffen door de malware.

De aanvallers bleven toegang houden tot de systemen, ook nadat slachtoffers hun systeem hadden geüpdatet. Volgens de MIVD is het aannemelijk dat de aanvallers nog steeds toegang hebben tot de systemen van veel slachtoffers. Het is niet bekend bij hoeveel slachtoffers er daadwerkelijk malware is geïnstalleerd, maar het gaat naar verwachting om honderden slachtoffers wereldwijd.

Door Sabine Schults

Redacteur

10-06-2024 • 21:08

53

Submitter: wildhagen

Reacties (53)

Sorteer op:

Weergave:

Ik blijf me verbazen over de efficiency drang om alles aan internet te hangen. Als "gevoelig" bedrijf hoor je te weten dat alles wat je aan internet hangt vroeg of laat gepolst gaat worden. Dat er clubjes zijn met diepe zakken en meerjarige plannen om naar binnen te komen.

Neem nou dat thuiswerken of werken op afstand. Wordt een kapitaal aan beveiliging geinvesteerd. Als je de medewerkers met gevoelig werk verplicht naar het bedrijf laat komen, zet je al die potentiële gaten in de beveiliging dicht. Of kijk in de trein eens naar al dat gezeul met laptops en tablets. Ja, het is dichtgetimmerd. Tot er een keer eentje zijn laptop vergeet of kwijtraakt.
Een heleboel gaat online omdat het toch op afstand bediend moet worden. De seinwachter van 1930 kan niet meer uit, en ook de koerier langssturen kost teveel. Voor een instantie die apparatuur door het hele land heeft zitten (riool, spoor, electra, noem maar op) is het ongeveer een noodzaak om dat spul remote uit te lezen, en alleen als het echt nodig is sturen ze een busje.

Voor andere zaken geldt dat inderdaad remote werken normaal geworden is, en dat bijvoorbeeld de huisarts direct toegang wil tot de digitale gegevens, en niet 3 dagen wil wachten tot de post binnen is. Idem voor je apotheek, en belangrijker: je zorgverzekeraar...

Over dat dichttimmeren, daar worden we beter in, maar de belangrijkste schakel (die tussen stoel en toetsenbord) verandert maar langzaam, en management helemaal. Beveiligen kost bakken geld, en maakt dingen moeilijker (met reden, zeker, maar dit punt blijft). Het werkt wel beter dan vroeger, en een (groot) lek is nog steeds nieuws, gelukkig.
We kunnen ook gewoon weer brieven sturen per post. Of telegram. En fabrieken weer laten draaien op stoom en aandrijfriemen.
...en gelukkig kan niemand een brief onderscheppen...of telegrafieverkeer aftappen.
Afluisteren en spioneren is van alle tijden, dus teruggaan naar oude technologiën gaat daar niets aan veranderen.
[edit]
En als je een beetje slim bent, hang je ook niet alles aan het internet, maar alleen de zaken die daar iets mee moeten.

[Reactie gewijzigd door mphilipp op 22 juli 2024 14:22]

niet dat ik zeg dat oude technologien de oplossing zijn maar met de juiste toegang steel je, op afstand, ineens de up-to-date medische gegevens van tig duizend personen tegelijk en deel je die met de hele wereld. "Vroegah" moest je daarvoor fysiek inbreken en dan had je kunnen meenemen wat je kon dragen met alle gevaar van ontdekking. Het publiceren daarvan was zo goed als onmogelijk. Het delen van gegevens tussen specialisten had meer voeten in aarde maar het ging wel.

Je 2e punt is waar het om draait

@eerdere comments: Het is zo flauw om altijd over de 18e eeuwse technologie te beginnen als iemand het gebruik van internet ter discussie stelt.
Wat ik eigenlijk vergeet te vermelden: bedrijven kopen deze apparatuur juist om hun gevoelige data af te schermen van het internet. Noodzakelijkerwijs hangt hun netwerk aan het internet, maar je schermt dmv firewalls, vlans e.d. bepaalde servers/services af voor directe toegang van het internet. Je zorgt er zo voor dat je bv een database alleen maar via het interne netwerk kunt benaderen en dan alleen met de juiste applicatie. Maar ja, als er dan malware in de apparatuur zit waarmee je dit regelt, wat doe je dan? Dat is hetzelfde als een corrupte agent, die je niet helpt, maar juist gaat beroven. Daar kun je je heel moeilijk tegen wapenen.
Vroegah" moest je daarvoor fysiek inbreken en dan had je kunnen meenemen wat je kon dragen met alle gevaar van ontdekking
Het gaat hier over spionage en daar gebruikte de spion vroegâh een cameraatje voor. Hierdoor hoefde hij niets meer te dragen dan zijn fototoestel. Daardoor hoefde hij niet veel te dragen en kon zelfs de originelen achterlaten.
Het is zo flauw om altijd over de 18e eeuwse technologie te beginnen als iemand het gebruik van internet ter discussie stelt.
Het gebruik van internet heeft natuurlijk te maken met vooruitgang en als iemand de vooruitgang ter discussie stelt, is het logisch dat mensen refereren aan andere vormen van vooruitgang. Daarnaast is het schrijven van brieven vooral 20e eeuw en fabrieken op stoom 19e eeuw.
Het lijkt flauw, maar is een heel natuurlijke reactie als iemand internet ter discussie stelt. Vooruitgang hou je niet tegen, gelukkig niet.

Edit: een taalfoutje weggewerkt. :)

[Reactie gewijzigd door Aldy op 22 juli 2024 14:22]

Telegram is dan weer een ongelukkig voorbeeld. :*)
Gelukkig schreef je het niet met een hoofdletter. :+
Vroeger waren de bierkratjes van hout en moest je doorzuipen om het vuur aan te houden
Ja, het is dichtgetimmerd. Tot er een keer eentje zijn laptop vergeet of kwijtraakt.
Als dat een probleem is, is het niet dichtgetimmerd...
Zolang er nog een menselijke factor aanwezig is, lijkt het alleen maar dichtgetimmerd, maar dat zal het nooit zijn. Niet alleen kan de mens een fout maken, hij/zij kan ook ongehoorzaam zijn.
Het zou wat vollediger zijn als in het artikel word uitgelegd wat Fortinet/Fortigate is :)
@Andre_J en @Vliegenier04 hebben al heel mooi uitgelegd wat FortiGate is. Daarnaast heeft Fortinet een aantal andere producten en diensten. Zelf ken ik het bijvoorbeeld van FortiClient, hun VPN dienst die volgens mij voornamelijk zakelijk (ook door onderwijsinstanties bij mijn weten) gebruikt wordt voor werken op afstand. Maar het is dus allemaal netwerk software en hardware.
Het is zelfs nog veel meer. Het is een ware suite, of "fabric".
Firewall (bekendste), Endpoint security, Application Delivery, DDoS protection, VoiP, Switches, Identity Management/IAM, PAM.

En dan laat ik veel weg omdat ik het onderdeel vind van bovenstaande. (IPS hoort gewoon in een NGFW, Zero trust is een principe, geen product enz)

Ze zijn niet de nr 1 beste per los product, maar ze zitten er dicht tegen. En als je alles optelt dan heb je wel een mooie deal. Let wel, dat niet alles even goed integreert als ze je willen laten geloven. (bron, diverse leveranciers een paar jaar terug. En ik zeg niet dat de producten los niet goed zijn voordat men gaat klagen.) Ze zijn behoorlijk groot in overheidsland, daar waar ze niet genoeg budget krijgen voor een Palo Alto.
Ze hebben goede producten en hun ecosysteem werkt best fijn over het algemeen. Mijn voornaamste bemerking mbt Fortinet is dat heel wat functionaliteit achter licenses hangt. Je kan relatief goedkoop aan de slag, maar zodra je wat meer wil kost het je een lieve duit - en het zijn lopende kosten!

[Reactie gewijzigd door the_stickie op 22 juli 2024 14:22]

Fortinet is de leverancier van onder andere Fortigate, een Firewall.
Zowel als hardware variant als software appliance te verkrijgen.
Fortigate is (even simpel gezegd) een stuk hardware dat dient als een (sterke / goed beveiligde) firewall. Hier zijn verschillende opties in. Wikipedia: Fortinet
Fortinet is een leverancier van IT apparatuur.
Ze hebben een heel eigen ecosysteem met bijvoorbeeld Fortigate (firewall), Fortiswitch (switches) FortiAP (access points),... een implemntatie van die devices wordt in Fortinet documentatie wel eens een Fortinet genoemd - een netwerk met Fortinet producten.
Detecteert MS Defender for endpoints deze malware?
Wellicht als je Windows defender op een Fortigate zou installeren. :+

Maar nee, dit gaat op een exploit/malware op een firewall appliance, en niet op Windows.

[Reactie gewijzigd door ZeromaNoiS op 22 juli 2024 14:22]

Ah ik dacht te begrijpen dat er malware was geplaatst op (Windows)systemen nadat er eerst toegang tot de fortinet firewall was verkregen 8)7
Er is altijd een persistente mechaniek nodig voor de aanvaller om later weer toegang te kunnen krijgen. Dat kan software zijn die op een Windows machine geïnstalleerd wordt.
het wordt tijd om de chinezen eens flink op de vingers te tikken
Tot ze ons boycotten en we vrijwel niks meer hebben😂
Dat kunnen ze niet. Ze hebben ons (het westen) meer nodig.
China heeft het western economisch meer nodig dan wij China. Maar het zou wel verstandig zijn om de economische afhankelijkheid langzaam af te bouwen. (gaat wel 10 jaar duren)
En dan moet je nagaan dat ze al een tijdje bezig zijn met het opbouwen van een enorm leger. De vraag is dan ook wanneer dat ingezet gaat worden om het "afvallige" eilandje dat er naast ligt binnen te vallen. Bedenk dan de consequenties daarvan op de tech sector.
Klinkt als een heel sterk verhaal, heb je ook wat meer details in plaats van zo'n loze claim?
Ontkoppel pas van Google Pay in Rabo omgeving.
Telefoon naar fabrieksinstellingen.
Installeer Rabo App.
Koppel pas aan Google Pay.

Ga betalen met contactloos.
1) Kassa systeem geeft aan iets van een URL te gaan downloaden.
of
2) Kassa systeem reboot.
Dit waren de twee dingen (1 of 2 was afhankelijk van het type systeem) die ik kon reproduceren in elke winkel.
Dit gebeurde zonder uitzondering bij elke betaalpoging.

Na het totaal vervangen van de rom door de producent, was dit verholpen, maar werd de rendering van Chrome browser onderschept vanaf een bepaalde versie. Dit werd niet goed gedaan dus rendering ging regelmatig kapot. Dit bleef ongefixt, ook na meldingen bij Google en de producent, totdat ik aangaf een ander merk telefoon te gaan kopen. Toen was er in heel korte tijd een update van een systeem app en was het 'gefixt'.

[Reactie gewijzigd door djwice op 22 juli 2024 14:22]

Maar dat duidt niet direct op malware, wel op een fout in de software die de pinapparaten laat crashen. Die voorbeelden zijn er wel meer.
Ok. Ik vond het in iedergeval erg raar dat een systeem crasht door je telefoon in de buurt te houden, en zeker omdat verschillende types geraakt werden en het altijd gebeurde. Daarom dacht ik aan opzet/malware. Sommige winkels hebben speciaal voor mij de kassa helemaal opnieuw gestart - zoals ze 's avonds afsluiten en 's ochtends opstarten - dat kost best wat tijd heb ik geleerd.

Maar goed helaas heb ik niet iemand kunnen vinden die malware (wel of niet) kon vaststellen / de oorzaak kon vast stellen.

Dus het kan inderdaad heel goed een slechte software implementatie zijn zonder enige bijzaak, ik heb niet voldoende kennis van de protocollen rondom die NFC communicatie om daar over te oordelen.

[Reactie gewijzigd door djwice op 22 juli 2024 14:22]

Zie bijvoorbeeld:
forumtopic: Crash Pin terminal mobiel betalen Rabo/Google
Dat ging om Oneplus/Oppo/Xiaomi, dus niet direct te linken aan èèn fabrikant.
Dat er iets mis gaat in de software is duidelijk, dat het malware betreft is een claim zonder bewijs.
Omdat NFC uitlezen gewoon werkte en sommige terminals direct iets gingen downloaden van internet vond ik het verdacht. Maar inderdaad ik heb geen bewijs dat er code op de telefoon zat die gemaakt was met dit doel voor ogen.

Helaas ook niemand kunnen vinden die dat wel kon en wilde onderzoeken.

Google Pay had alle groene vinkjes en Google Play zag geen issues op de telefoon. En het OS, de services en apps waren helemaal up to date.

[Reactie gewijzigd door djwice op 22 juli 2024 14:22]

Er zullen vast uitzonderingen zijn, maar alle pin apparaten van de bekende merken hebben slechts een ouderwetse seriële verbinding met de kassa. Kassa stuurt alleen het bedrag over die verbinding en krijgt een akkoord of niet akkoord terug. Er kan geen commando vanaf het pinapparaat gestuurd worden naar de kassa om iets te downloaden. Er zijn ook honderden zo niet duizenden verschillende kassasystemen. Welke lek ga je gebruiken?

Pin apparaten crashen vrij vaak, maar een pin apparaat dat een kassasysteem laat crashen heb ik nog niet gezien. Dat ze het hele systeem rebooten zal vast komen door de gebruiker welke niet weet hoe je alleen het pin apparaat opnieuw opstart.

Wat betreft het pinapparaat dat iets download, dat is heel normaal. In het geval dat de techniek van de pinpas niet bekend is bij de terminal, bv omdat het nieuw is, dan wordt er automatisch een update gedownload vanaf hun eigen netwerk. Dus niet een url dat wordt doorgegeven vanaf jouw telefoon. Hoewel Rabobank passen wel standaard ondersteund worden hier, kan er een fout in de implementatie van nfc zitten bij sommige merken, waardoor de terminal naar updates zoekt of het is zo fout dat die crasht door een bufferoverflow.

Dat gezegd te hebben, ik zie het niet als iets onmogelijks. Er zijn al nieuwe pin apparaten die op Android draaien, de vraag is niet 'of', maar 'wanneer'. Alleen vanaf het pin apparaat naar het kassasysteem is weer een ander verhaal. Maar als een pinapparaat is gehackt heb je wel een rogue apparaat in je netwerk.
Ik zal wel afgebrand worden, maar ik wil toch even aanhaken.

Ten eerste is er niet zozeer bewijs, maar wel aantoonbaar raar gedrag. Je mag van gewaarschuwde\oplettende consumenten best verwachten dat zij verdachte zaken aanmerken als een hack of malware. Hoewel technisch misschien niet correct, het is minimaal 100x beter dan negeren. Liever een false-positive bij dit soort rarigheden dan een positive-false. Je moet er als beheerder toch ook niet aan denken dat mensen rare dingen zien en het niet melden?

Ten tweede is het een zeer terechte vraag: Waar kan je zoiets melden? Je wordt blijkbaar simpelweg niet serieus genomen en meldingen niet onderzocht. Pas als het echt fout gaat wil men pas acteren. Ben je dan niet te laat? Moet de put pas echt gedempt worden nadat het kalf verdronken is?

Daarnaast, als het alleen om de Oneplus/Oppo/Xiaomi zou gaan, zoals je schrijft, wat hebben die drie merken gemeen dat juist die het systeem laten crashen, dat het twee Chinese bedrijven zijn is overduidelijk. (en de reden dat jij hier op inspringt?) En Oneplus en Oppo zijn nagenoeg hetzelfde bedrijf. (beide vallen onder BBK Electronics)

@djwice Ik heb zoiets een keer gezien, ik dacht dat het een (auto) update URL was van de fabrikant die automatisch geladen wordt wanneer de terminals opstarten. Dus de kans dat het een malware-download is, is gelukkig niet groot. Op die manier worden ze snel voorzien van nieuwe/geupdate/gepatchte versies.

Wel goed dat je het aangaf! En jammer dat het totaal genegeerd was. Dat zorgt voor desinteresse en melding moeheid. Gewoon blijven melden als je iets vreemds ziet, je hebt het beter gedaan dan velen in mijn ogen!
Dank je wel. :)

[Reactie gewijzigd door djwice op 22 juli 2024 14:22]

Ontkoppel pas van Google Pay in Rabo omgeving.
Telefoon naar fabrieksinstellingen.
Installeer Rabo App.
Koppel pas aan Google Pay.
Waarschijnlijk krijg je geen reactie omdat Google is gestopt met Google Pay
Toen nog niet 😉
En het Pay protocol nu zit gewoon in Wallet volgens mij toch?
Toen was er in ieder geval nog geen Google Wallet in Nederland.

[Reactie gewijzigd door djwice op 22 juli 2024 14:22]

Google boeit het absoluut niks wat er binnen Android gaande is zolang hun telemetrie maar werkt en ze maar met enige regelmaat iets patchen, daarom moet GrapheneOS vaak zerodays vinden en upstream patchen.

De bank is aan de voordeur (1e lijn) enorm incompetent, daar ga je inderdaad ook niet ver mee komen.

Voor meldingen van burgers kan ik eigenlijk niks anders verzinnen dan de politie: 0900-8844
Politie zei melden bij de bank. Bij de bank is het doorgezet naar het security team, die zeiden dat het niet hun verantwoordelijkheid was, dus niets deden met de melding.
Ik heb aangeboden om langs te komen met de telefoon zodat ze het in een sandbox konden reproduceren. Dat hoefde niet vonden ze.
Zowel telefonisch als via mail.

[Reactie gewijzigd door djwice op 22 juli 2024 14:22]

Snap ik wel. De pas is visa/mastercard, app van google, telefoon van chinacom, terminal van somfy, etc. de bank heeft eigenlijk nauwelijks wat met de transactie te maken totdat die hun backend raakt

Edit typo

[Reactie gewijzigd door Yongshi op 22 juli 2024 14:22]

Het zou fijn zijn als de bank - van wie de pas is en de koppeling met Google Pay, dus voor mij als consument het aanspreekpunt voor deze transactie (pogingen). Dan zou verwijzen bij wie ik wel moet wezen. Sterker nog, wellicht zijn ze als mijn leverancier van de dienst simpelweg eindverantwoordelijk voor de onderaannemers die de het onwenselijk gedrag veroorzaken.
Soms is een bedrijf direct mailen gewoon niet handig meer. Vaak weinig response. Zelfs met dreigen naar pers te stappen gebeurt er vrij weinig. Maar het daadwerkelijk doen is dan vaak de enige optie.
Pcap beschikbaar? Nogal een claim zonder enig bewijs.
Ik heb geen idee bij wie je in Nederland dit kunt melden op het moment dat het gebeurt en dat ze zich dan ook verantwoordelijk voelen om te onderzoeken en maatregelen te nemen dan wel de bron op te sporen.
Bij mij zat het stock op de telefoon, gekocht in Nederland bij een van de grootste Nederlandse online telefoon winkels.
de verkoper ook geprobeerd? en anders ouderwets oom agent, gezien "hacken" nog altijd strafbaar is?
Die zei neem contact op met de support van de producent. Dat werkte snel: binnen 3 dagen telefoon weer terug (kostenloos).
Ik vind dat een beledigende opmerking.

Ik ben van mening dat het aanbieden van je Google Pay niet mag leiden tot een reboot of dat het betaal systeem direct iets gaat downloaden. Elke keer.
Als dat gebeurd, noem ik dat een hack.
Jij mag het ook een bug noemen in het betaal systeem.

Ik vond het in iedergeval knap irritant, beschamend en ongemakkelijk.

[Reactie gewijzigd door djwice op 22 juli 2024 14:22]

Niets van aantrekken. Je schrijft een onderbouwd verhaal en je steekt moeite in je post. Ik heb geen idee of je verhaal hout snijdt, maar het is natuurlijk niet onmogelijk. Het is tegenwoordig standaard op tweakers om meningen waarmee iemand het oneens is een -1 te geven. Daarvoor is het moderatiesysteem niet bedoeld, maar dit is wel de uitwerking.
Ik denk dat 't mis gaat omdat z'n verhaal geen hout snijd. Dat is het probleem. Dat z'n telefoon een terminal laat crashen zou kunnen door een bug in de protocol implementatie van 1 van beide kanten.

Wat echter niet aannemelijk is is dat dit gebeurt bij een compleet willekeurige gebruiker zonder 'hoog profiel' of 'PEP'.

Wat ook zeer onaannemelijk is is dat de fabrikant de bug pas gaat fixen bij dreiging een ander merk te kopen. 1 vertrekkende klant zet een telefoonfabrikant er echt niet toe om een - volgens DJWice - maatwerk af-fabriek en dus met medeweten van de fabrikant geinstalleerde malware te verwijderen.

Ik gooi 't daarom op een software bug in combinatie met grootheidswaanzin.

Dan is deze post: forumtopic: Crash Pin terminal mobiel betalen Rabo/Google een stuk logischer want is een stuk bescheidener. Geen geroeptoeter over Chinese staatshackers op de telefoon van een willekeurige gebruiker. Geen dreigementen richting de fabrikant, etc, etc. Gewoon een bug.
Als dat gebeurd, noem ik dat een hack.
Een hack is eh.. een hack, het doelbewust iets proberen te omzeilen of te veroorzaken.
Dit is/was gewoon een bug in het systeem, een telefoon die in Nederland verkocht wordt dat doelbewust pinautomaten laat crashen, ik kan veel geloven, maar dit niet.
Net als (een aantal jaren geleden), een iPhone een Ubiquiti accesspoint met een bepaalde (beta) firmware instant kon laten crashen door zich simpelweg op aan te melden. Da's geen hack, Apple is geen h4x0r malafide onderneming, gewoon een bug, meer niet.
Ok. Prima. Verschil was nu wel dat dit geen wifi en beta firmware was, maar een gereguleerde financiële transactie in productie.

Op dit item kan niet meer gereageerd worden.