De MIVD en AIVD troffen tijdens een incident response onderzoek een nieuwe Remote Access Trojan (RAT) malware aan. Deze RAT is een gerichte persistente malware die buiten het zicht van traditionele detectiemaatregelen opereert en specifiek voor FortiGate-apparaten is ontwikkeld. Een ander kenmerk is dat deze malware niet gericht is op het toegang verkrijgen tot systemen maar om toegang te behouden. De aanvankelijke toegang was te verkrijgen door de kwetsbaarheid in FortiGate met het kenmerk CVE-2022-42475 te misbruiken. Het NCSC heeft deze kwetsbaarheid in december 2022 ingeschaald als hoge kans en hoge impact.
Duiding
De MIVD en AIVD stellen dat deze aanval past binnen een bredere trend. Zowel het NCSC als partnerorganisaties zien een trend in het misbruik van kwetsbaarheden in publiek benaderbare edge devices zoals firewalls, VPN-servers, en e-mailservers. Edge devices vormen een interessant doelwit omdat deze componenten zich aan de rand van het netwerk bevinden en geregeld een directe verbinding hebben met het internet. Edge devices worden vaak niet ondersteund door Endpoint Detection and Response (EDR) oplossingen. Dit maakt dat malafide of afwijkend gedrag moeilijk te detecteren is. In eerdere publicaties over verhoogde scanactiviteiten, Fortigate VPN, Pulse Secure en recentelijk Ivanti Connect Secure, wordt hier dieper op ingegaan.