Coathanger

Coathangerは、ネットワーク機器に感染するトロイの木馬型マルウェアです。
オランダの政府機関の一部システムへの侵入が確認されました。
どんな活動だったのでしょう。

• 発見された場所
  侵害が確認されたのは、オランダの国防省の特定用途向けネットワークでした。

   

• マルウェアに感染した機器
  このマルウェアは、Fortigateネットワークセキュリティアプライアンスに感染しました。

   

• 永続化：再起動
  このCoathangerは、Fortigateのシステムの再起動を担当するプロセスに感染します。
  方式は、システムの再起動を担当するプロセスに自分自身のバックアップを挿入する方法です。
  このマルウェアのコードの挿入された再起動を実施するプロセスによる機器の再起動が実施された場合、機器の再起動後もマルウェアの動作は継続されます。

   

• 永続化：機器のアップグレード
  さらに、この方式による永続化の実装では、感染した状態の機器のファームウェアをアップグレードしても、感染状態が持続する動きをすることが分かりました。
  これまでのマルウェアは、感染した機器のファームウェアをアップグレードすると、感染状態から回復できるものが多かったのではないでしょうか。
  しかし、このCoathangerは感染した状態でアップグレードしても、感染状態が持続してしまうというのです。

驚くべき永続化の強力さです。
本件についてメーカー側の詳細情報はまだ公表されていません。
この強い永続化のマルウェアには、どのように対処できるでしょう。
本件についてはかないませんでしたが、感染してから機器をアップグレードして復旧させるのではなく、感染しないようにあらかじめ機器を最新の状態で運用するということの重要さを感じました。

参考記事（外部リンク）：Chinese spies hacked Dutch defence network last year –
intelligence agencies
www.reuters.com/technology/cybersecurity/china-cyber-spies-hacked-computers-dutch-defence-ministry-report-2024-02-06/