{"id":291632,"date":"2024-02-08T07:43:46","date_gmt":"2024-02-08T06:43:46","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=291632"},"modified":"2024-07-04T21:32:47","modified_gmt":"2024-07-04T19:32:47","slug":"niederlande-militrnetzwerk-ber-fortigate-gehackt-volt-typhoon-botnetz-seit-5-jahren-in-us-systemen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/02\/08\/niederlande-militrnetzwerk-ber-fortigate-gehackt-volt-typhoon-botnetz-seit-5-jahren-in-us-systemen\/","title":{"rendered":"Niederlande: Militärnetzwerk über FortiGate gehackt; Volt Typhoon-Botnetz seit 5 Jahren in US-Systemen"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Gerade ist eine Spionageaktion der chinesischen Regierung in einem Computernetzwerk des niederl\u00e4ndischen Milit\u00e4rs aufgeflogen. Das Milit\u00e4rnetzwerk wurde \u00fcber eine Schwachstelle in FortiGate gehackt. Das ist auch f\u00fcr andere Fortinet-Kunden relevant. Und mittlerweile wurde bekannt, dass das mutma\u00dflich von staatsnahen chinesischen Hackern betriebene und vom FBI k\u00fcrzlich abgeschaltete Volt Typhoon-Botnet wohl schon seit f\u00fcnf Jahren bestand. Die US-Sicherheitsbeh\u00f6rde CISA hat zum 7. Feb. 2024 weitere Details ver\u00f6ffentlicht.<\/p>\n

<\/p>\n

Niederlande: Milit\u00e4rnetzwerk \u00fcber FortiGate gehackt<\/h2>\n

\"\"Ein Computernetzwerk der niederl\u00e4ndischen Streitkr\u00e4fte war das Ziel mutma\u00dflich staatlicher Hacker aus China, wie aus nachfolgendem Tweet<\/a> hervorgeht. Es handelt sich laut<\/a> niederl\u00e4ndischem Milit\u00e4rische Nachrichten- und Sicherheitsdienst (MIVD) allerdings um ein Computernetzwerk, welches f\u00fcr nicht klassifizierte Forschung und Entwicklung (F&E) verwendet wurde.<\/p>\n

\"FortiGate<\/a><\/p>\n

Laut diesem Artikel<\/a> von The Hackers News fand der Angriff 2023 statt, wobei die Angreifer eine bekannte kritische Sicherheitsl\u00fccke in FortiOS SSL-VPN (CVE-2022-42475<\/a>, CVSS-Score: 9.3) nutzte, die es einem nicht authentifizierten Angreifer erm\u00f6glicht, \u00fcber speziell gestaltete Anfragen beliebigen Code auszuf\u00fchren.<\/p>\n

Warum das f\u00fcr alle Fortinet-Kunden relevant ist<\/h3>\n

Blog-Leser Bolko hatte im Diskussionsbereich bereits zum 6. Februar 2024 auf den Sachverhalt hingewiesen (danke daf\u00fcr). Er schrieb, dass China mit einer neuen \"stealthy\" Remote Access Trojaner (RAT)-Malware namens \"COATHANGER\" in den Niederlanden spioniert und zitiert ebenfalls den niederl\u00e4ndischen Milit\u00e4rnachrichtendienst<\/a>.<\/p>\n

Angriffsvektor ist die Sicherheitsl\u00fccke CVE-2022-42475 in der Software \"FortiGate\" der Firma Fortinet, die leider immer noch nicht auf vielen Systemen gepatcht ist (oder das Patchen erfolgte zu sp\u00e4t, weil die Malware schon im System injiziert wurde). Es wird daher vor der neuen, schwer zu entdeckenden Malware, die immun gegen das nachtr\u00e4gliche Patchen ist, gewarnt.<\/p>\n

Die erfolgreiche Ausnutzung der Schwachstelle ebnete in obigem Fall den Weg f\u00fcr die Bereitstellung einer Backdoor namens COATHANGER von einem von einem Akteur kontrollierten Server aus, die einen dauerhaften Fernzugriff auf die kompromittierten Ger\u00e4te erm\u00f6glicht. Zur Schwachstelle CVE-2022-42475 hatte ich einige Beitr\u00e4ge im Blog, u.a. FortiGuard Labs meldet: Kritische Sicherheitsl\u00fccke CVE-2022-42475 in FortiOS wird ausgenutzt<\/a> (siehe links am Artikelende).<\/p>\n

China nutzt diese Art von Malware allgemein zum Ausspionieren von Computernetzwerken und greift die Systemen, auf denen FortiGate der Firma Fortinet installiert ist, an. Die FortiGate-Software erm\u00f6glicht das Remote-Arbeitern von Computernutzern in den Netzwerken. Fortinet bietet diese Software weltweit an. Zum 6.2.2024 wurde ein Bericht<\/a> von dem niederl\u00e4ndischen \"Nationalen Zentrum f\u00fcr Cybersicherheit\" dazu mit folgenden Aussagen ver\u00f6ffentlicht:<\/p>\n