Le 9 février 2024, le Ministère de la Défense des Pays-Bas a publié une alerte conjointe avec les services de renseignement MIVD et AIVD concernant une intrusion sophistiquée dans l’un de ses réseaux en 2023. Cet incident a conduit à la découverte d’un malware jamais publié auparavant, nommé COATHANGER, spécifiquement conçu pour les appareils FortiGate.
Aperçu de l’Incident
L’intrusion a eu lieu dans un réseau segmenté du ministère, affectant moins de 50 utilisateurs impliqués dans des projets de recherche et développement non classifiés. Grâce à cette segmentation, les effets ont été limités. Toutefois, cette attaque fait partie d’une tendance plus large d’espionnage politique par des acteurs soutenus par l’État chinois, visant les Pays-Bas et ses alliés.
Détails du Malware COATHANGER
COATHANGER est un cheval de Troie d’accès à distance (RAT) qui se distingue par sa furtivité et sa persistance. Il s’infiltre en se cachant dans les appels système et survit aux redémarrages et mises à jour du firmware. Ce malware est introduit via des appareils FortiGate vulnérables, souvent après exploitation d’une faille connue (CVE-2022-42475 dans ce cas).
Les capacités de COATHANGER incluent :
- Furtivité : Habilité à se cacher des outils de détection standards.
- Persistance : Maintien de sa présence même après un redémarrage ou une mise à jour.
- C2 Communication : Connectivité régulière avec un serveur de commande et de contrôle (C2) pour exécuter des commandes à distance.
Attribution et Contexte
Les services de renseignement néerlandais MIVD et AIVD attribuent avec une haute confiance cette attaque à un acteur étatique de la République Populaire de Chine. Cela s’inscrit dans un schéma plus large d’espionnage visant des informations sensibles et des infrastructures critiques en Occident.
Breaches Mondiales
Selon un rapport de Bleeping Computer, les hackers chinois ont compromis environ 20 000 systèmes FortiGate à travers le monde. Cette vaste campagne de cyber espionnage souligne la portée globale et l’ambition des acteurs malveillants chinois, ciblant spécifiquement les dispositifs de sécurité périmétrique pour accéder aux réseaux internes de diverses organisations.
Correctif de Fortinet
Fortinet a publié un correctif vers la fin de l’année 2022 pour remédier à la vulnérabilité CVE-2022-42475, utilisée par le malware COATHANGER pour s’introduire dans les systèmes FortiGate. Il est crucial que toutes les organisations utilisant des dispositifs FortiGate appliquent cette mise à jour de sécurité pour se protéger contre de potentielles intrusions .
Recommandations pour les Organisations
Les organisations utilisant des appareils FortiGate sont encouragées à :
- Isoler immédiatement les appareils affectés.
- Collecter et examiner les journaux et les données pertinentes des appareils compromis.
- Considérer l’assistance d’un tiers spécialisé en réponse aux incidents pour éradiquer l’acteur malveillant du réseau.
Pour prévenir de futures attaques, il est crucial d’installer les correctifs de sécurité dès leur disponibilité, de suivre les meilleures pratiques de sécurité recommandées par le fabricant, et de surveiller les journaux d’événements pour toute activité anormale.
Pour plus de détails, vous pouvez consulter la publication complète du Ministère de la Défense des Pays-Bas ici.
