Новости Хакеры взломали полмира, но спалились на открытом сервере. Виновники FortiBleed найдены

NewsMaker

I'm just a script
Премиум
27,977
46
8 Ноя 2022
Следы в инфраструктуре оказались даже красноречивее самой операции.


qifkie018ix4lveh8g3ot9qglnr7y3p3.jpg

В недавней громкой вредоносной операции FortiBleed появились новые детали: исследователи связали кампанию не просто с массовым сбором паролей, а с группой вымогателей Lynx / INC, также известной как INC Ransom.

По данным SOCRadar, операторы кампании оставили открытым рабочий сервер, где хранились файлы, связанные с их инфраструктурой. Анализ этих данных позволил SOCRadar расширить картину операции: речь идёт о 86 644 скомпрометированных устройствах FortiGate, более чем 80 000 уникальных IP-адресов, 22 405 доменах и 194 странах.

Ранее вокруг FortiBleed главным оставался вопрос масштаба утечки и способа входа в устройства Fortinet. Новое обновление добавляет к этой картине возможного исполнителя. Lynx / INC работает как группа вымогателей и, по данным SOCRadar, с 2023 года атакует корпоративные сети в здравоохранении, образовании, госсекторе и промышленности, прежде всего в Северной Америке и Европе.

Сама схема FortiBleed строилась не вокруг новой неизвестной уязвимости. Операторы брали пароли из прежних утечек и журналов инфостилеров , затем автоматически проверяли их на доступных из интернета устройствах FortiGate. После входа захваченный шлюз превращался в точку прослушивания SSL <span class="vpn-highlight" title="Использование VPN может нарушать законодательство РФ">VPN</span>-трафика и помогал собирать новые учётные данные.

Отдельное внимание SOCRadar уделяет тому, что обновление прошивки само по себе не закрывало проблему для многих организаций. Если пароль уже попал к злоумышленникам и не менялся после прежнего инцидента, устройство оставалось уязвимым для повторного входа. В базе также встречались типовые административные и системные учётные записи Fortinet, что указывает на слабую парольную гигиену у части жертв.

Среди затронутых секторов исследователи выделяют телекоммуникации, госструктуры, банки, больницы, университеты, энергетические компании и крупный бизнес. В массиве нашли 591 запись, связанную со 111 государственными доменами, а телекоммуникационный сектор дал 5 616 записей.

Организациям с FortiGate и SSL VPN рекомендуют немедленно сменить пароли администраторов и VPN-пользователей, включить двухфакторную защиту, проверить журналы входов, закрыть внешний доступ к панели управления и обновить прошивку. Если устройство найдено в наборе FortiBleed, SOCRadar советует считать периметр уже скомпрометированным и начать разбор инцидента.
 
Источник новости
www.securitylab.ru

Похожие темы