オランダ軍情報保安局(MIVD)は、中国の国家支援を受けたサイバー攻撃者による脆弱性を悪用したサイバー攻撃を発見したとの発表があった。
攻撃者はFortinet製ファイアウォール「FortiGate」の脆弱性を利用し、オランダ軍のネットワークに侵入。
高度なマルウェア「COATHANGER」を利用して攻撃を実行したとみられている。
COATHANGERは遠隔操作型トロイの木馬(RAT)であり、永続的な侵害を目的としている。
修正済みのFortiGateデバイスでも再感染の可能性があるほか、高いステルス性を備えていることから検知が難しいとされている。
公開された資料によれば、攻撃者は大規模なエッジデバイスのスキャンを実施し、難読化された接続を使用してFortiGate内に侵入。
その後、別のホストからCOATHANGERをダウンロードしたとされている。
侵害後は研究開発ネットワークの偵察を行い、Active Directoryサーバーからユーザーアカウント情報を窃取している。
しかし、侵害されたネットワークは軍事ネットワークから分離されており、被害は限定的なもので収まっている。
推奨されている対策として、Fortinet製品を使用している場合は直ちに隔離し、専門家の支援を得ることが推奨されている。
なお、COATHANGERの存在が確認された場合は、現時点でFortinet製品をフォーマットし、デバイスを再インストールして再構成する以外に解決策はないとされている。
【参考記事】
MIVD onthult werkwijze Chinese spionage in Nederland
https://www.defensie.nl/onderwerpen/militaire-inlichtingen-en-veiligheid/nieuws/2024/02/06/mivd-onthult-werkwijze-chinese-spionage-in-nederland