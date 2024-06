De spionagecampagne tegen FortiGate-systemen waarvoor de MIVD eerder dit jaar waarschuwde is groter dan gedacht en maakte misbruik van een onbekende kwetsbaarheid, zo is vandaag bekendgemaakt. Volgens de MIVD zijn in 2022 en 2023 binnen enkele maanden wereldwijd minstens 20.000 FortiGate-systemen via een kwetsbaarheid (CVE-2022-42475) met malware besmet geraakt.

Dit beveiligingslek werd minstens twee maanden misbruik voordat Fortinet met een beveiligingsupdate kwam. Tijdens deze periode werden 14.000 apparaten geïnfecteerd met de 'Coathanger-malware'. Onder doelwitten zijn onder meer tientallen overheden, internationale organisaties en een groot aantal bedrijven binnen de defensie-industrie. Nadat een systeem gecompromitteerd was bleven de aanvallers via de malware toegang behouden, ook al installeerde slachtoffers op een later moment de beveiligingsupdate.

Het is niet bekend bij hoeveel slachtoffers daadwerkelijk malware is geïnstalleerd. De Nederlandse inlichtingendiensten en het NCSC achten het waarschijnlijk dat de statelijke actor in potentie bij honderden slachtoffers wereldwijd zijn toegang uit kon breiden en aanvullende acties uit heeft kunnen voeren zoals het stelen van gegevens. "Zelfs met het technische rapport over de Coathanger-malware zijn infecties van de actor lastig te identificeren en te verwijderen", aldus het NCSC.

De Nederlandse overheidsdiensten denken dat het waarschijnlijk is dat de aanvaller op dit moment nog steeds toegang heeft tot systemen van een groot aantal slachtoffers. "Initiële compromittering van een it-netwerk is moeilijk te voorkomen als de kwaadwillende hierbij gebruik maakt van een zero-day. Daarom is het van belang dat organisaties het ‘assume breach’-principe hanteren. Dit principe hanteert dat een succesvolle digitale aanval al heeft plaatsgevonden of binnenkort gaat plaatsvinden", zo adviseert het NCSC. Volgens de MIVD is de spionagecampagne vanuit China uitgevoerd.