In 2022 en 2023 zijn binnen enkele maanden wereldwijd minstens 20.000 FortiGate-systemen via een beveiligingslek (CVE-2022-42475) met malware geïnfecteerd. Eerder dit jaar waarschuwde de MIVD al voor de Chinese cyberspionagecampagne tegen FortiGate-systemen.
Coathanger-malware
De kwetsbaarheid werd minstens twee maanden misbruikt voordat Fortinet een beveiligingsupdate uitbracht. Tijdens deze periode werden 14.000 apparaten besmet met Coathanger-malware. Slachtoffers zijn onder andere overheden, internationale organisaties en bedrijven binnen de defensie-industrie. Nadat een systeem was gehackt, behielden de aanvallers er via de malware toegang toe. Zelfs als slachtoffers achteraf de beveiligingsupdate installeerden.
Assume breach-principe
De Nederlandse inlichtingendiensten en het NCSC gaan ervan uit dat de statelijke actor in potentie bij honderden slachtoffers wereldwijd gegevens heeft kunnen bemachtigen. Het is waarschijnlijk dat de aanvaller nog steeds toegang heeft tot systemen van slachtoffers. “Initiële compromittering van een IT-netwerk is moeilijk te voorkomen als de kwaadwillende hierbij gebruikmaakt van een zero-day. Daarom is het van belang dat organisaties het assume breach-principe hanteren. Dit principe hanteert dat een succesvolle digitale aanval al heeft plaatsgevonden of binnenkort gaat plaatsvinden”, aldus het NCSC.
Klik hier voor het bericht van de NCSC.