Cyberprzestępcy przeprowadzili jedną z największych kampanii wymierzonych w urządzenia Fortinet. Według ustaleń Hudson Rock i SOCRadar, napastnicy uzyskali dostęp do dziesiątek tysięcy zapór sieciowych i bram VPN wykorzystywanych przez firmy oraz instytucje publiczne na całym świecie. Jak informują TechCrunch i The Register, wśród poszkodowanych mogą znajdować się m.in. Accenture, Oracle, Samsung, Siemens, Lenovo czy PwC. Badacze bezpieczeństwa nazwali kampanię FortiBleed. Co istotne, atak nie opiera się na nowej luce typu zero-day. Według analiz cytowanych przez TechCrunch, przestępcy wykorzystują przede wszystkim wcześniej wykradzione lub złamane dane uwierzytelniające do urządzeń Fortinet, a następnie przejmują kontrolę nad zaporami sieciowymi i bramami VPN wystawionymi do internetu. Skala incydentu wciąż pozostaje przedmiotem analiz. Hudson Rock twierdzi, że znalazł dowody wskazujące na przejęcie ponad 73 tys. unikalnych adresów URL związanych z urządzeniami Fortinet, natomiast SOCRadar szacuje liczbę naruszonych urządzeń na ponad 30 tys. Z kolei The Register podaje, że cyberprzestępcy mogli uzyskać dostęp do około 75 tys. urządzeń FortiGate w 194 krajach, a wyciek obejmuje dane uwierzytelniające powiązane z 21 632 domenami należącymi do organizacji z całego świata. Według Hudson Rock, najbardziej dotknięte zostały firmy z sektorów IT, telekomunikacji oraz budownictwa. SOCRadar wskazuje również na obecność instytucji rządowych wśród ofiar tego cyberataku. Atak sam się napędza Jak opisuje SOCRadar, mechanizm działania kampanii przypomina efekt kuli śnieżnej. Atakujący najpierw skanują internet w poszukiwaniu dostępnych urządzeń Fortinet, a następnie logują się przy użyciu wcześniej pozyskanych haseł. Po przejęciu urządzenia wykorzystują je do monitorowania ruchu sieciowego i przechwytywania kolejnych danych uwierzytelniających. Te trafiają następnie do bazy wykorzystywanej do dalszych włamań. Według ustaleń przywoływanych przez The Register, grupa odpowiedzialna za kampanię miała przeprowadzić ponad 1,16 mld prób uwierzytelnienia wobec urządzeń FortiGate oraz ponad 2,1 mld prób logowania do serwerów Microsoft SQL. Z kolei badacz bezpieczeństwa Bob Diachenko, który jako jeden z pierwszych opisał sprawę, twierdzi, że przestępcy wykorzystywali farmę 45 procesorów GPU do łamania przechwyconych skrótów haseł i uzyskiwania dostępu do środowisk Active Directory. Przejęcie całych sieci i kradzież danych Najbardziej niepokojące są doniesienia o skutecznych włamaniach do wewnętrznych sieci organizacji. Według informacji cytowanych przez The Register, napastnicy mieli całkowicie przejąć kontrolę nad co najmniej czterema organizacjami. W jednym z przypadków ofiarą miał paść turecki dostawca usług obronnych współpracujący z NATO, z którego skradziono poufne dokumenty wojskowe. Niezależny badacz Kevin Beaumont, który przeanalizował ujawnione dane, potwierdził ich autentyczność. Jak podkreślił, część przejętych urządzeń korzystała z aktualnych poprawek bezpieczeństwa, co sugeruje, że problem nie wynikał wyłącznie z niezałatanych luk, lecz przede wszystkim z kompromitacji danych logowania. Fortinet: to nie jest nowy incydent Fortinet potwierdził, że zna doniesienia dotyczące kampanii wymierzonej w jego urządzenia, jednak firma podważa tezę o nowym masowym naruszeniu bezpieczeństwa. W oświadczeniu cytowanym zarówno przez TechCrunch, jak i The Register producent wskazał, że ujawnione dane mają pochodzić głównie z wcześniejszych incydentów oraz ataków typu brute force, a nie z nowo odkrytej podatności czy świeżego włamania do infrastruktury Fortinet. Firma podkreśla również, że organizacje regularnie zmieniające hasła i stosujące dobre praktyki bezpieczeństwa powinny być narażone na minimalne ryzyko. Badacze bezpieczeństwa zalecają administratorom pilne sprawdzenie urządzeń Fortinet oraz zmianę wszystkich haseł wykorzystywanych do logowania do VPN i paneli administracyjnych. Rekomendowane jest także włączenie uwierzytelniania wieloskładnikowego (MFA), które może znacząco ograniczyć skuteczność podobnych kampanii.
