De Nederlandse Militaire Inlichtingen- en Veiligheidsdienst (MIVD) heeft ontdekt dat Chinese spionagesoftware is geïnfiltreerd in een geïsoleerd netwerk van de Nederlandse krijgsmacht. De malware, genaamd ‘Coathanger’, maakte gebruik van een reeds bekende kwetsbaarheid in FortiGate-apparaten.
Bij een onderzoek naar incidenten stelde de MIVD de aanwezigheid van de Coathanger-malware vast op een afzonderlijk computernetwerk van Defensie, dat gebruikt werd voor niet-vertrouwelijk onderzoek. Gelukkig heeft deze ontdekking geen schade toegebracht aan het bredere netwerk van Defensie, benadrukt de MIVD.
De aangetroffen malware was een Remote Access Trojan (RAT), een geavanceerd en doelgericht kwaadaardig programma dat buiten het zicht van traditionele detectiemethoden opereert. Het was specifiek ontwikkeld om zich te nestelen in FortiGate-apparaten en maakte gebruik van een kwetsbaarheid in FortiOS die in november 2022 door Fortinet werd gepatcht. Wat Coathanger-malware onderscheidt, is dat het niet wordt ingezet om toegang te verkrijgen tot systemen, maar om reeds verkregen toegang te behouden.
Het Nationaal Cyber Security Centrum (NCSC) heeft een technisch rapport over de malware gepubliceerd. Demissionair minister van Defensie Kajsa Ollongren benadrukt het belang van dit rapport voor het toeschrijven van dergelijke spionageactiviteiten aan China. Dit draagt bij aan de internationale weerbaarheid tegen cyberspionage. Daarnaast worden gebruikers van FortiGate aangemoedigd om te controleren of ze slachtoffer zijn geworden en passende maatregelen te nemen. De MIVD verzoekt organisaties die de Coathanger-malware aantreffen, om contact op te nemen met de inlichtingendienst.