L’agence néerlandaise de cybersécurité (NCSC) affirme que des attaques chinoises profitant de la brèche de sécurité CVE-2022-42475 ont touché plus de 20.000 pare-feux de la marque Fortinet en quelques mois, entre 2022 et 2023, y compris ceux du Ministère de la Défense des Pays-Bas. Selon un communiqué du NCSC, une douzaine d’autres gouvernements de pays occidentaux ont été touchés, ainsi que des organisations internationales et plusieurs entreprises spécialisées dans la Défense.
Les attaquants ont utilisé un logiciel malveillant furtif, surnommé Coathanger, après avoir compromis les boîtiers FortiGate. Ce cheval de Troie d’accès à distance a été développé uniquement pour pouvoir être utilisé sur les pare-feux compromis. Or, le seul moyen d’éliminer une infection par Coathanger est de reformater complètement l’appareil. Une simple application de correctif ne suffit pas.
D’après le NCSC, deux ans plus tard, un grand nombre de boîtiers FortiGate est encore infecté et sous le contrôle des attaquants chinois à l’origine des attaques.