Des pirates informatiques soutenus par l’État chinois ont pénétré dans un réseau informatique utilisé par les forces armées néerlandaises en ciblant les appareils Fortinet FortiGate.
« Ce [computer network] a été utilisé à des fins de recherche et développement (R&D) non classifiées », le Service de renseignement et de sécurité militaire néerlandais (MIVD) dit dans un rapport. « Comme ce système était autonome, il n’a causé aucun dommage au réseau de défense. » Le réseau comptait moins de 50 utilisateurs.
L’intrusion, qui a eu lieu en 2023, a exploité une faille de sécurité critique connue dans FortiOS SSL-VPN (CVE-2022-42475, score CVSS : 9,3) qui permet à un attaquant non authentifié d’exécuter du code arbitraire via des requêtes spécialement conçues.
L’exploitation réussie de la faille a ouvert la voie au déploiement d’une porte dérobée baptisée CINTRE à partir d’un serveur contrôlé par un acteur et conçu pour accorder un accès distant persistant aux appareils compromis.
« Le malware COATHANGER est furtif et persistant », a déclaré le Centre national néerlandais de cybersécurité (NCSC). « Il se cache en capturant des appels système qui pourraient révéler sa présence. Il survit aux redémarrages et aux mises à niveau du micrologiciel. »
COATHANGER se distingue de BOLDMOVE, une autre porte dérobée liée à un acteur malveillant présumé basé en Chine, connu pour avoir exploité CVE-2022-42475 comme Zero Day dans des attaques ciblant une entité gouvernementale européenne et un fournisseur de services gérés (MSP) situés en Afrique. dès octobre 2022.
C’est la première fois que les Pays-Bas attribuent publiquement une campagne de cyberespionnage à la Chine. Reuters, qui cassé Selon l’histoire, le malware tire son nom d’un extrait de code contenant une ligne de Lamb to the Slaughter, une nouvelle de l’auteur britannique Roald Dahl.
Cela arrive également quelques jours après que les autorités américaines ont pris des mesures pour démanteler un botnet comprenant des routeurs Cisco et NetGear obsolètes qui étaient utilisés par des acteurs chinois comme Volt Typhoon pour dissimuler les origines du trafic malveillant.
L’année dernière, Mandiant, propriété de Google, a révélé qu’un groupe de cyberespionnage lié à la Chine, suivi sous le nom d’UNC3886, exploitait le jour zéro dans les appareils Fortinet pour déployer des implants THINCRUST et CASTLETAP afin d’exécuter des commandes arbitraires reçues d’un serveur distant et d’exfiltrer des données sensibles.