中国のハッカーが世界中にある約2万台のFortiGateシステムに侵入しているとオランダ政府の軍事情報安全保安局が警告

2024年2月、オランダ軍情報保安局(MIVD)と総合情報保安局(AIVD)が、中国政府の支援を受けたハッカーがオランダ国防省などで使用される次世代ファイアウォール「FortiGate」のネットワークに侵入したと報告しました。その後の調査の結果、MIVDは約2万台ものデバイスが中国のハッカーによる被害を受けたことを明らかにしました。

Aanhoudende statelijke cyberspionagecampagne via kwetsbare edge devices | Nieuwsbericht | Nationaal Cyber Security Centrum
https://www.ncsc.nl/actueel/nieuws/2024/juni/10/aanhoudende-statelijke-cyberspionagecampagne-via-kwetsbare-edge-devices

20,000 Fortinet devices breached – reboots no defence
https://www.thestack.technology/20-000-fortinet-devices-breached-by-chinese-hackers-reboots-firmware-updates-no-defence/

Chinese hackers breached 20,000 FortiGate systems worldwide
https://www.bleepingcomputer.com/news/security/chinese-hackers-breached-20-000-fortigate-systems-worldwide/

MIVDによると、中国のハッカーは2022年から2023年にかけての数カ月間、FortiGateを動作させるためのOSであるFortiOSやFortiProxyに存在した脆弱性「CVE-2022-42475」を悪用して、FortiGateのネットワークセキュリティアプライアンスにCOATHANGERと呼ばれるマルウェアを展開したとのこと。

数十の西側政府や国際機関、多数の防衛産業に関する企業などの標的のネットワークに侵入したCOATHANGERは、自動的にバックドアのインストールを実行します。

中国のサイバースパイがオランダの軍事ネットワークにアクセスしたと諜報機関が公表 - GIGAZINE

2024年2月の報告以降もMIVDとAIVDは調査を続け、「中国のサイバースパイ活動はこれまで知られていたよりもはるかに広範囲に及んでいることが明らかになりました」と報告。具体的には、CVE-2022-42475の悪用から2023年1月のFortinetによる公表までに、COATHANGERは約1万4000台ものデバイスに感染。公表後も攻撃者はパッチを適用していないデバイスに攻撃を続け、2022年から2023年にかけての数カ月間で少なくとも2万台ものFortiGateシステムにアクセスしたことが語られています。

MIVDによると、COATHANGERはスキャンからマルウェアの存在を秘匿するステルス性と、再起動やファームウェアのアップデートに耐えうる継続性を備えているとのこと。そのため、一度COATHANGERの侵入を許すと削除が困難です。MIVDは「COATHANGERが侵入すると、中国政府はFortiGateシステムへの恒久的なアクセスが可能になります。たとえ被害者がFortiGateからセキュリティアップデートをインストールしたとしても、中国政府は被害者のデバイスへのアクセスを維持することが可能です」と指摘。

また、「実際にCOATHANGERをインストールしている被害者の数は不明です。オランダの諜報機関とサイバーセキュリティ機関であるNCSCは、中国政府の支援を受けたハッカーが攻撃範囲をさらに拡大し、データの窃取などの追加行動を実行する可能性があると考えています」と述べました。

海外メディアのThe Stackは「感染したFortiGateデバイスからCOATHANGERを削除する唯一の方法は、デバイスをフォーマットし、再インストールして再構成することです」と述べています。さらにオランダ国防省は「COATHANGERを検出するためのYARAルール、JA3フィンガープリントなどの方法を特定しています」と報告しました。