Netwerksegmentatie houdt Chinese staatshackers tegen bij Defensie
Het ministerie van Defensie heeft vorig jaar Chinese spionagesoftware gevonden op een computersysteem van de krijgsmacht. Volgens de Militaire Inlichtingen- en Veiligheidsdienst (MIVD) ging het om "geavanceerde" malware die is geplaatst door een Chinese staatsinstelling. Dankzij netwerksegmentatie zijn de aanvallers echter niet verder doorgedrongen, naar gevoelige systemen. Een vrijgegeven rapport van de MIVD helpt andere gebruikers van de getroffen firewall/VPN-systemen.
CC0/Pixabay License
De malware is gevonden "op een losstaand computernetwerk binnen de krijgsmacht. Dat netwerk werd gebruikt voor ongerubriceerde Research and Development (R&D). Doordat dit systeem op zichzelf stond, leidde dit niet tot schade aan het netwerk van Defensie", aldus de MIVD. Het netwerk telde minder dan vijftig gebruikers.
Firewall/VPN-systemen
Het gaat om malware die wordt ingezet bij FortiGate firewalls van leverancier Fortinet. Die systemen moeten netwerken beschermen tegen aanvallen en stellen door hun VPN-mogelijkheden eindgebruikers in staat om veilig te kunnen telewerken, gebruikmakend van interne systemen en resources. Volgens de MIVD maakten de Chinezen gebruik van een "bekende kwetsbaarheid in FortiGate apparaten".
Dat beveiligingsgat (CVE-2022-42475) is in december 2022 en Fortinet heeft eind november dat jaar er patches voor uitgebracht. Die updates voor FortiOS zijn aanvankelijk uitgebracht zonder dat duidelijk werd gemaakt hoe ernstig het te dichten gat was, meldde Bleeping Computer toen. Halverwege december was er al sprake van actief misbruik, waarschuwde Fortinet toen. Het Nederlandse NCSC (Nationaal Cyber Security Centrum) uitte de verwachting dat veel meer aanvallen zouden volgen.
Hardnekkige infectie
Meer misbruik van deze kwetsbaarheid is in januari 2023 ontdekt, waarbij overheden en overheidsgelieerde organisaties het doelwit waren. De nu door Defensie ontdekte, voorheen onbekende malware (die de naam Coathanger heeft gekregen) blijkt mogelijkheden te hebben om een reboot van het systeem te overleven. De spyware kan zichzelf injecteren in het proces voor herstarten van het apparaat. Daarnaast kan de kwaadaardige software als het eenmaal binnen is gekomen patchen van de misbruikte kwetsbaarheid doorstaan.
De Nederlandse militaire inlichtingendienst heeft ook een technisch rapport over de werkwijze van de Chinese staatshackers openbaar gemaakt. Dat gebeurt voor het eerst. Op de website van het Nationaal Cyber Security Centrum (NCSC) zijn de kenmerken van de spionagesoftware gepubliceerd. Daarmee kunnen andere gebruikers van FortiGate-systemen vaststellen of zij slachtoffer zijn geworden. Ook helpt de vrijgegeven informatie om maatregelen te treffen ter verdediging tegen deze hackaanval.
Segmentatie en beveiligingsniveaus
In het getroffen militaire netwerk werd geen geheime informatie gedeeld. Defensie kent verschillende niveaus van beveiliging. Het ministerie laat weten dat "100 procent veiligheid niet bestaat. Vrijwel alle digitale apparatuur kent op den duur kwetsbaarheden, daarvoor worden updates/patches uitgebracht".
De MIVD waarschuwt al jaren voor spionage door China. "Ik denk, omdat de diensten hier al jaren voor waarschuwen, moet je eigenlijk ook niet verbaasd zijn als je het dan ook hier ergens aantreft op deze manier", zegt demissionair minister Kajsa Ollongren van Defensie.
Chinese cyberspionage
In het jaarverslag van vorig jaar meldde de MIVD dat China kennis en goederen uit de Nederlandse ruimtevaartsector probeerde te bemachtigen. Dat zou geprobeerd zijn via coverbedrijven. Verder zou het land interesse hebben in hoogwaardige technologie en de maritieme industrie.
In 2022 heeft de militaire inlichtingendienst naar eigen zeggen "verschillende Chinese pogingen om Nederlandse (militaire) technologie te bemachtigen ontdekt en voorkomen". De MIVD en ook de AIVD kregen vorig jaar van de Tweede Kamer ruimere bevoegdheden om zo spionage te voorkomen.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee