Кіберзлочинці зкомпрометували десятки тисяч фаєрволів і VPN-пристроїв Fortinet, які використовують великі компанії по всьому світу. Про це повідомили дві компанії з кібербезпеки.
Масштабна хакерська кампанія, яка триває й досі та отримала назву FortiBleed, схоже, не пов’язана з експлуатацією невідомих вразливостей у пристроях. Замість цього вона ґрунтується на більш базовій проблемі: компанії не змінюють стандартні паролі фаєрволів і не перевіряють, чи не відомі вже хакерам облікові дані для чутливих систем, відкритих в інтернеті.
У межах цієї кампанії зловмисники спершу використовують автоматизовані інструменти для сканування інтернету в пошуках відкритих фаєрволів і VPN Fortinet. Потім вони зламують пристрої, використовуючи списки раніше відомих паролів. Після цього кіберзлочинці можуть викрадати більш чутливі дані жертв, пишуть у своїх звітах компанії Hudson Rock і SOCRadar.
“Після компрометації пристрою [хакери] використовують його як слуховий пост, відстежуючи трафік, що через нього проходить, і збираючи додаткові облікові дані. Нові паролі потім знову завантажуються в сканер для компрометації ще більшої кількості пристроїв. Система підживлює сама себе”, — зазначають в SOCRadar.
Представниця Fortinet Тіффані Керсі повідомила TechCrunch, що компанія “знає про повідомлення щодо сторонньої кампанії зі збору облікових даних, спрямованої на фаєрволи та VPN-шлюзи Fortinet”. За даними Fortinet, скомпрометована інформація — це “перепоширення даних із попередніх інцидентів, а також брутфорс паролів”, і вона “не пов’язана з якимись нещодавніми інцидентами чи попередженнями”.
Hudson Rock заявляє, що виявила докази компрометації понад 73 000 унікальних Fortinet-URL-адрес, тоді як SOCRadar оцінює загальну кількість зламаних пристроїв більш ніж у 30 000.
За даними Hudson Rock, серед постраждалих компаній: Accenture, Comcast, Foxconn, Lenovo, Oracle, Samsung, Siemens та PwC.
Представник Lenovo підтвердив отримання запиту TechCrunch, але так і не надав коментар. Інші компанії також не відповіли на запити.
За інформацією Hudson Rock та SOCRadar, найбільше постраждалих пристроїв знаходиться в Індії, США, Тайвані та Мексиці, але жертви є по всьому світу. Серед галузей найбільше постраждали ІТ-сервіси, виробництво будівельних матеріалів і телекомунікації, зазначають в Hudson Rock. За даними SOCRadar, серед жертв є й державні установи. Обидві компанії вважають, що група, яка стоїть за атакою, є російськомовною.
Звіти Hudson Rock та SOCRadar базуються на виявленні списку облікових даних для пристроїв Fortinet і пов’язаних із ними компаній. Про цю кампанію вперше повідомив дослідник безпеки Боб Дяченко на минулих вихідних. Незалежний експерт з кібербезпеки Кевін Бомонт у своєму блозі в середу написав, що проаналізував ці дані та підтвердив, що вони “справжні”.
Останніми роками низка хакерських кампаній вже була націлена на пристрої Fortinet і часто використовувала їхні технічні вразливості. У поточній же кампанії хакери спираються на витеклі паролі — простіший і менш витончений метод атаки.
Оновлено з урахуванням коментаря Fortinet.