Redactie - 10 juni 2024

AIVD- NCSC - MIVD: brede cyberspionagecampagne China via kwetsbare edge devices

Eerder dit jaar heeft het NCSC samen met de Militaire Inlichtingen- en Veiligheidsdienst (MIVD) en de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) een rapport gepubliceerd over de geavanceerde COATHANGER-malware gericht op FortiGate-systemen. Sindsdien heeft de MIVD nader onderzoek gedaan en is gebleken dat de Chinese cyberspionagecampagne veel omvangrijker blijkt te zijn dan eerder bekend. Het NCSC vraagt daarom extra aandacht voor deze campagne en het misbruik van kwetsbaarheden in edge devices. Hiervoor heeft het NCSC een kennisproduct opgesteld met aanvullende informatie over edge devices, bijbehorende uitdagingen en te nemen maatregelen.

AIVD- NCSC - MIVD: brede cyberspionagecampagne China via kwetsbare edge devices image

De bredere COATHANGER-campagne

Sinds de publicatie in februari heeft de MIVD verder onderzoek gedaan naar de bredere Chinese cyberspionagecampagne. Hieruit is naar voren gekomen dat de statelijke actor zowel in 2022 als in 2023 binnen enkele maanden toegang heeft verkregen tot ten minste 20.000 FortiGate-systemen wereldwijd middels de kwetsbaarheid met het kenmerk CVE-2022-42475. Verder toont onderzoek aan dat de statelijke actor achter deze campagne minimaal twee maanden voordat Fortinet de kwetsbaarheid bekend maakte, al op de hoogte was van deze kwetsbaarheid in FortiGate-systemen. Tijdens deze zogeheten ‘zero-day’ periode, infecteerde de actor alleen al 14.000 apparaten. Onder doelwitten zijn onder meer tientallen (westerse) overheden, internationale organisaties en een groot aantal bedrijven binnen de defensie-industrie.

De statelijke actor installeerde bij relevante doelwitten op een later moment malware. Zo kreeg de statelijke actor permanente toegang tot de systemen. Ook als een slachtoffer beveilingsupdates van FortiGate installeert, blijft de statelijke actor deze toegang houden.

Slachtoffers

Het is niet bekend bij hoeveel slachtoffers daadwerkelijk malware is geïnstalleerd. De Nederlandse inlichtingendiensten en het NCSC achten het waarschijnlijk dat de statelijke actor in potentie bij honderden slachtoffers wereldwijd zijn toegang uit kon breiden en aanvullende acties uit heeft kunnen voeren zoals het stelen van gegevens.

Zelfs met het technische rapport over de COATHANGER-malware zijn infecties van de actor lastig te identificeren en te verwijderen. Het NCSC en de Nederlandse inlichtingendiensten stellen daarom dat het waarschijnlijk is dat de statelijke actor op dit moment nog steeds toegang heeft tot systemen van een significant aantal slachtoffers.

Mitigerende maatregelen bij het gebruik van edge devices

Het NCSC en de Nederlandse inlichtingendiensten zien al langer een trend dat kwetsbaarheden in publiek benaderbare edge devices zoals firewalls, VPN-servers, routers en e-mailserververs worden misbruikt. Vanwege de uitdagingen op het gebied van beveiliging van edge devices zijn deze apparaten een geliefd doelwit voor kwaadwillenden. Edge devices bevinden zich aan de rand van het IT-netwerk en hebben geregeld een directe verbinding met het internet. Daarnaast worden deze apparaten vaak niet ondersteund door Endpoint Detection and Response (EDR) oplossingen.

Initiële compromittering van een IT-netwerk is moeilijk te voorkomen als de kwaadwillende hierbij gebruik maakt van een zero-day. Daarom is het van belang dat organisaties het ‘assume breach’-principe hanteren. Dit principe hanteert dat een succesvolle digitale aanval al heeft plaatsgevonden of binnenkort gaat plaatsvinden. Op basis hiervan worden maatregelen genomen om de schade en impact te beperken. Denk hierbij aan het nemen van mitigerende maatregelen op het gebied van segmentering, detectie, incident response plannen en forensic readiness.

Het NCSC kennisproduct ‘Omgaan met edge devices’ beschrijft verdere uitdagingen en digitale dreigingen bij het gebruik van edge devices en biedt per uitdaging concreet handelingsperspectief voor organisaties.

Gevolgen voor burgers

"Chinese dreigingsgroepen richten zich steeds meer op het misbruiken van 'zero-day'-kwetsbaarheden. Dit zijn onbekende beveiligingslekken die bijzonder effectief zijn om ongeautoriseerde toegang te verkrijgen voordat leveranciers deze ontdekken en patches ontwikkelen. We zien ook een toenemende focus op randapparaten en cloudomgevingen. Door de toenemende digitalisering koppelen mensen steeds meer producten aan het internet. En sommige van deze producten, denk aan een onofficiële goedkope videodeurbel, bevatten software die volkomen onbetrouwbaar is en makkelijk gehackt kan worden.”

"De implicaties van cyberspionage zijn aanzienlijk en hebben niet alleen gevolgen voor de directe doelwitten, maar ook voor de bredere internationale gemeenschap. Het is goed mogelijk dat de gegevens van medewerkers van bedrijven die deze VPN-verbinding gebruiken nu zijn gelekt, net als de gegevens van klanten van een van de gehackte bedrijven. Die gegevens kunnen op het dark web worden verhandeld voor phishing-aanvallen.”

Alomvattende strategie

"Naast de traditionele voordelen van spionage worden Chinese cyberactiviteiten ook gedreven door economische motieven. Deze operaties zijn niet alleen bedoeld om inlichtingen te verzamelen, maar ook om de wereldwijde economische belangen van China te bevorderen. Het dubbele gebruik van cybercapaciteiten voor zowel spionage als economisch gewin wijst op een alomvattende staatsstrategie."

"Dit soort incidenten illustreren de dringende behoefte aan internationale samenwerking en versterkte cyberdefensies om zich te beschermen tegen de groeiende dreiging van door staten gesponsorde cyberoorlogsvoering."

Militaire sector vaker doelwit

“Het cyberbeveiligingslandschap heeft te maken met een toename van cyberactiviteiten van nationale staten, waarbij Chinese cyberoperaties als een bijzonder grote bedreiging naar voren komen. Organisaties in de overheids-/militaire sector wereldwijd hebben volgens de dreigingsinformatie van Check Point te maken met meer dan 1720 aanvallen per week. In Nederland ligt het aantal aanvallen op overheidsinstellingen/militaire instellingen op gemiddeld 1077 aanvallen per week.”

Axians 12/11/2024 t/m 26/11/2024 BN+BW