{"id":296478,"date":"2024-06-18T13:56:31","date_gmt":"2024-06-18T11:56:31","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=296478"},"modified":"2024-06-18T13:59:04","modified_gmt":"2024-06-18T11:59:04","slug":"china-hacker-infiltrieren-20-000-fortigate-systeme","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/06\/18\/china-hacker-infiltrieren-20-000-fortigate-systeme\/","title":{"rendered":"China-Hacker infiltrieren 20.000 FortiGate-Systeme"},"content":{"rendered":"

\"SicherheitNoch eine Kurzmeldung zu FortiGate: Im Februar 2024 hatte ich bereits im Beitrag Niederlande: Milit\u00e4rnetzwerk \u00fcber FortiGate gehackt; Volt Typhoon-Botnetz seit 5 Jahren in US-Systemen<\/a> \u00fcber eine Warnung des niederl\u00e4ndischen CERT berichtet, die auf 14.000 gehackte FortiGate-Systeme hingewiesen haben. Nun hat das niederl\u00e4ndische Cyber Security Centrum k\u00fcrzlich seine Warnung aktualisiert<\/a> und weist darauf hin, dass chinesische Hacker inzwischen 20.000 FortiGate-Systeme weltweit \u00fcber die COATHANGER-Malware infiltriert haben.  <\/p>\n

<\/p>\n

\"\"Anfang Februar 2024 ver\u00f6ffentlichte das NCSC zusammen mit dem Milit\u00e4rischen Nachrichten- und Sicherheitsdienst (MIVD) und dem Allgemeinen Nachrichten- und Sicherheitsdienst (AIVD) einen Bericht \u00fcber die ausgekl\u00fcgelte COATHANGER-Malware, die auf FortiGate-Systeme abzielt.<\/p>\n

Im Beitrag hier<\/a> schreibt das niederl\u00e4ndische Cyber Security Centrum (NCSC), dass man seit der Ver\u00f6ffentlichung der Warnung im Februar 2024 die breiter angelegte chinesische Cyberspionagekampagne weiter vom MIVD untersucht habe. Dabei habe sich herausgestellt, dass sich der staatliche Akteur in den Jahren 2022 und 2023 innerhalb weniger Monate \u00fcber die Schwachstelle CVE-2022-42475 Zugang zu mindestens 20.000 FortiGate-Systemen weltweit verschaffte.  <\/p>\n

Dar\u00fcber hinaus zeigen Untersuchungen, dass der staatliche Akteur, der hinter dieser Kampagne steht, bereits mindestens zwei Monate vor der Offenlegung der Schwachstelle durch Fortinet von dieser Sicherheitsl\u00fccke in FortiGate-Systemen wusste. W\u00e4hrend dieses sogenannten Zero-Day-Zeitraums infizierte der Akteur allein 14.000 Ger\u00e4te. Zu den Zielen geh\u00f6rten Dutzende von (westlichen) Regierungen, internationale Organisationen und eine gro\u00dfe Anzahl von Unternehmen der Verteidigungsindustrie.<\/p>\n

Der staatliche Akteur installierte zu einem sp\u00e4teren Zeitpunkt Schadsoftware auf den gekaperten Systemen. Dadurch erhielt der staatliche Akteur permanenten Zugriff auf die Systeme. Selbst wenn ein Opfer Sicherheitsupdates von FortiGate installiert, beh\u00e4lt der staatliche Akteur weiterhin diesen Zugriff.<\/p>\n

Es ist nicht bekannt, bei wie vielen Opfern tats\u00e4chlich Malware installiert wurde. Die niederl\u00e4ndischen Nachrichtendienste und der NCSC halten es f\u00fcr wahrscheinlich, dass der staatliche Akteur seinen Zugang auf Hunderte von Opfern weltweit ausdehnen und zus\u00e4tzliche Aktionen wie Datendiebstahl durchf\u00fchren konnte.<\/p>\n

Trotz des technischen Berichts \u00fcber die COATHANGER-Malware ist es schwierig, Infektionen durch Akteure zu erkennen und zu entfernen. Die NCSC und die niederl\u00e4ndischen Nachrichtendienste halten es daher f\u00fcr wahrscheinlich, dass der staatliche Akteur noch immer auf die Systeme einer betr\u00e4chtlichen Anzahl von Opfern zugreift. <\/p>\n

Ich habe den Artikel mit der Warnung \u00fcberflogen, aber keine konkreten Hinweise gefunden, wie man Infektionen erkennt. Der allgemeine Ratschlag war, immer davon auszugehen, dass die FortiGate-Systeme bereits infiziert sind und nach entsprechenden Anzeigen zu suchen. Die Kollegen von Bleeping Computer haben hier<\/a> einige Erkenntnisse aus der obigen Warnung in Englisch ver\u00f6ffentlicht. <\/p>\n","protected":false},"excerpt":{"rendered":"

Noch eine Kurzmeldung zu FortiGate: Im Februar 2024 hatte ich bereits im Beitrag Niederlande: Milit\u00e4rnetzwerk \u00fcber FortiGate gehackt; Volt Typhoon-Botnetz seit 5 Jahren in US-Systemen \u00fcber eine Warnung des niederl\u00e4ndischen CERT berichtet, die auf 14.000 gehackte FortiGate-Systeme hingewiesen haben. Nun … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-296478","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/296478","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=296478"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/296478\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=296478"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=296478"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=296478"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}