Peretas yang didukung negara China masuk ke jaringan komputer yang digunakan oleh angkatan bersenjata Belanda dengan menargetkan perangkat Fortinet FortiGate.
“[Jaringan komputer] ini digunakan untuk penelitian dan pengembangan (R&D) yang tidak diklasifikasikan,” kata Badan Intelijen dan Keamanan Militer Belanda (MIVD) dalam sebuah pernyataan. “Karena sistem ini mandiri, itu tidak menyebabkan kerusakan pada jaringan pertahanan.” Jaringan memiliki kurang dari 50 pengguna.
Intrusi, yang terjadi pada tahun 2023, memanfaatkan kelemahan keamanan kritis yang diketahui di FortiOS SSL-VPN (CVE-2022-42475, skor CVSS: 9.3) yang memungkinkan penyerang yang tidak diautentikasi untuk mengeksekusi kode arbitrer melalui permintaan yang dibuat khusus.
Eksploitasi cacat yang berhasil membuka jalan bagi penyebaran backdoor yang dijuluki COATHANGER dari server yang dikendalikan aktor yang dirancang untuk memberikan akses jarak jauh yang persisten ke peralatan yang dikompromikan.
“Malware COATHANGER tersembunyi dan persisten,” kata Pusat Keamanan Cyber Nasional Belanda (NCSC). “Ia menyembunyikan dirinya dengan mengaitkan panggilan sistem yang dapat mengungkapkan keberadaannya. Ini bertahan dari reboot dan peningkatan firmware.”
COATHANGER berbeda dari BOLDMOVE, backdoor lain yang terkait dengan dugaan aktor ancaman yang berbasis di China yang diketahui telah mengeksploitasi CVE-2022-42475 sebagai zero-day dalam serangan yang menargetkan entitas pemerintah Eropa dan penyedia layanan terkelola (MSP) yang berlokasi di Afrika pada awal Oktober 2022.
Perkembangan ini menandai pertama kalinya Belanda secara terbuka mengaitkan kampanye spionase dunia maya dengan China. Reuters, yang memecahkan cerita, mengatakan malware itu dinamai potongan kode yang berisi baris dari Lamb to the Slaughter, sebuah cerita pendek oleh penulis Inggris Roald Dahl.
Itu juga tiba beberapa hari setelah pihak berwenang AS mengambil langkah-langkah untuk membongkar botnet yang terdiri dari router Cisco dan NetGear yang kedaluwarsa yang digunakan oleh aktor ancaman China seperti Volt Typhoon untuk menyembunyikan asal-usul lalu lintas berbahaya.
Tahun lalu, Mandiant milik Google mengungkapkan bahwa kelompok spionase cyber China-nexus yang dilacak sebagai UNC3886 mengeksploitasi zero-days di peralatan Fortinet untuk menyebarkan implan THINCRUST dan CASTLETAP untuk mengeksekusi perintah sewenang-wenang yang diterima dari server jarak jauh dan mengeksfiltrasi data sensitif.
Sumber : The Hacker News
