Niederländisches Verteidigungsministerium: China wegen Spionage in Verdacht
Immer wieder steht China wegen Cyber-Spionage in Verdacht. Das niederländische Verteidigungsministerium veröffentlicht erstmalig einen Bericht zu einem Vorfall.
(Bild: Herr Loeffler/Shutterstock.com)
Das niederländische Verteidigungsministerium (MOD) wurde 2023 nach eigenen Angaben Opfer eines Angriffs durch einen Advanced Persistent Threat chinesischen Ursprungs. Dazu hat der Militärische Nachrichten- und Sicherheitsdienst (MIVD) erstmalig einen technischen Bericht über die Methoden der chinesischen Angreifer veröffentlicht. Die Auswirkungen seien aufgrund der in der Regierungsinfrastruktur implementierten Netzwerksegmentierung begrenzt gewesen. Demnach waren von dem Angriff weniger als 50 Nutzer aus dem Bereich Forschung und Entwicklung betroffen, die mit zwei Drittforschungsinstituten zusammenarbeiten.
Es sei wichtig, "solche Spionageaktivitäten China zuzuschreiben [...]. Auf diese Weise erhöhen wir die internationale Resilienz gegen diese Art von Cyberspionage", heißt es von der niederländischen Verteidigungsministerin Kajsa Ollongren. Verantwortlich war dem Bericht zufolge eine Schwachstelle im VPN des US-Unternehmens Fortinet. Die chinesische Botschaft in den Niederlanden reagierte gegenüber Reuters noch nicht auf eine Bitte um Stellungnahme. Zudem bestreite Peking die Vorwürfe der Cyberspionage und betont, alle Formen von Cyberangriffen abzulehnen.
MIVD und der niederländische Geheimdienst (AIVD) gehen jedoch "mit hoher Sicherheit davon aus, dass die böswilligen Aktivitäten von einem staatlich geförderten Akteur aus der Volksrepublik China durchgeführt wurden", heißt es in dem Bericht weiter. Demnach sei ein Trend derartiger "politischer Spionage gegen die Niederlande und ihre Verbündeten" zu erkennen.
Angriff über RAT "Coathanger"
Fortinets Fortigate-Lösungen sollen eigentlich vor derartigen Angriffen schützen. Demnach gelang der Spionage-Angriff über den Remote-Access-Trojaner (RAT) "Coathanger". Dabei handele es sich laut dem niederländischen Cybersicherheitszentrum (NCSC) um eine "zielgerichtete, persistente Malware", die speziell für FortiGate-Geräte entwickelt wurde und schwer zu erkennen sei. Diese Schadsoftware ziele nicht darauf ab, sich Zugang zu Systemen zu verschaffen, sondern den Zugriff aufrechtzuerhalten. Selbst vollständig gepatchte Systeme könnten daher infiziert werden, wenn sie vor dem neusten Patch kompromittiert wurden.
Der initiale Angriff begann Ende 2022 mit der Schwachstelle "CVE-2022-42475" in "FortiOS SSL-VPN", die das nationale Cybersicherheitszentrum als "hoch" eingestuft hatte. Fortinet stellte kurze Zeit später ein Update bereit, jedoch hatten die Firmware-Updates keinen Einfluss auf Coathanger. Bemerkenswert sei, dass sich der RAT nach dem Neustart durch ein zuvor in den Upgrade-Prozess eingefügtes Backup von sich selbst erholt habe. Daher überstand die Infektion die Firmware-Upgrades. "Selbst vollständig gepatchte FortiGate-Geräte können daher infiziert werden, wenn sie kompromittiert wurden, bevor der neueste Patch eingespielt wurde", heißt es in dem Bericht, zu dem das MOD, der MIVD und AIVD eine gemeinsame Pressemitteilung veröffentlicht haben.
Im Mai 2023 hatte unter anderem das niederländische Cybersicherheitszentrum erneut auf die Bedrohung durch die Schwachstelle hingewiesen und Informationen und Hinweise zum Umgang mit selbiger bereitgestellt.
(mack)