Le Service de renseignement et de sécurité militaires des Pays-Bas (MIVD) a averti aujourd’hui que l’impact d’une campagne de cyberespionnage chinois, révélée au début de cette année, est « bien plus grand que ce que l’on savait auparavant ».

Vulnérabilité exploitée dans les dispositifs FortiGate

Selon le MIVD, dans un rapport conjointement rédigé avec le Service général de renseignement et de sécurité (AIVD) publié en février, les hackers chinois ont exploité une vulnérabilité critique d’exécution de code à distance dans FortiOS/FortiProxy (CVE-2022-42475) pendant plusieurs mois entre 2022 et 2023. Cette vulnérabilité a permis aux attaquants de déployer un logiciel malveillant sur des appareils de sécurité réseau FortiGate vulnérables.

« Durant cette période de ‘zero-day’, l’acteur a infecté seulement 14 000 dispositifs. Les cibles incluaient des dizaines de gouvernements (occidentaux), des organisations internationales et un grand nombre d’entreprises au sein de l’industrie de la défense », a déclaré le MIVD.

Impact sur les réseaux du Ministère de la Défense néerlandais

Le logiciel malveillant, connu sous le nom de Coathanger, a également été retrouvé sur un réseau du Ministère de la Défense des Pays-Bas utilisé pour la recherche et développement (R&D) de projets non classifiés. Cependant, en raison de la segmentation du réseau, les attaquants ont été bloqués et n’ont pas pu se déplacer vers d’autres systèmes.

Le MIVD a découvert que cette souche de logiciel malveillant, auparavant méconnue, pouvait survivre à des redémarrages du système et à des mises à jour du firmware. Ce malware a été déployé par un groupe de hackers parrainé par l’État chinois dans une campagne d’espionnage politique visant les Pays-Bas et ses alliés.

« Cela a donné à l’acteur étatique un accès permanent aux systèmes. Même si une victime installe des mises à jour de sécurité de FortiGate, l’acteur étatique continue de maintenir cet accès », a ajouté le MIVD.

Accès mondial aux systèmes FortiGate

Depuis février, le service de renseignement militaire néerlandais a découvert que le groupe de menace chinois avait obtenu l’accès à au moins 20 000 systèmes FortiGate dans le monde entier pendant la période 2022 et 2023. Cet accès a été obtenu au moins deux mois avant que Fortinet ait divulgué la vulnérabilité CVE-2022-42475.

Le MIVD croit que les hackers chinois ont encore l’accès à bon nombre de ces systèmes, car le malware Coathanger est difficile à détecter et à éliminer, en raison de sa capacité à intercepter des appels système et à survivre à des mises à jour de firmware.

Attaques similaires et recommandations

Cette campagne d’attaques partage de nombreuses similitudes avec une autre campagne de piratage chinois visant des dispositifs SonicWall Secure Mobile Access (SMA) pas patchés avec un logiciel malveillant de cyberespionnage conçu pour résister à des mises à jour du firmware.

Les services de renseignement néerlandais et le Centre National de CybersécuritéLes solutions de cybersécurité sont essentielles à l’ère di… (NCSC) estiment probable que l’acteur étatique puisse étendre son accès à des centaines de victimes dans le monde et mener des actions supplémentaires, comme le vol de données.