Niederländische Sicherheitsbehörden berichten in einem Sicherheitsreport über eine neue Art von Malware, die bei einer Incident-Response-Untersuchung auf FortiGate-Geräten entdeckt wurde. Der Cyberangriff richtete sich gegen ein Computernetzwerk des niederländischen Militärs. Die niederländischen Sicherheitsbehörden gehen davon aus, dass dieser Angriff mit hoher Wahrscheinlichkeit durch einen staatlich gesteuerten, chinesischen Cyber-Akteur durchgeführt wurde.
Die analysierten Angriffe fanden bereits Anfang des Jahres 2023 statt und zielten auf eine kritische Sicherheitslücke in einer VPN-Appliance auf FortiGate-Geräten ab (CVE-2022-42475). Durch Ausnutzung dieser Schwachstelle kann ein Angreifer beliebigen Code ausführen und sich einen dauerhaften Remote-Zugriff auf kompromittierte Geräte verschaffen. Bei der nun entdeckten Malware namens COATHANGER handelt es sich um eine Backdoor, die darauf abzielt, dauerhaften Zugriff auf ein System zu erlangen. Dabei bleib die Malware auch nach Neustarts und Firmware-Ugrades auf dem System aktiv und versucht gezielt, ihre Erkennung zu verschleiern.
Staatlich gesteuerte Cyberangriffe auf VPN-Appliances wurden in der Vergangenheit auch gegen deutsche Stellen beobachtet. Die
niederländischen Sicherheitsbehörden stellen in ihrem Sicherheitsreport Möglichkeiten der Detektion sowie Indicators of
Compromise bereit. Die Cyberabwehr im LfV empfiehlt daher, potenziell betroffene Systeme anhand der bereitgestellten technischen
Indikatoren zu überprüfen und verdächtige Aktivitäten den Sicherheitsbehörden zu melden.