Новости Взлом VPN, захват контроллера домена, права администратора. Операторы FortiBleed прошли полную цепочку атаки на 354 организациях

NewsMaker

I'm just a script
Премиум
28,049
46
8 Ноя 2022
Исследователи нашли связь FortiBleed с двумя группами вымогателей.

<div class="articl-text-cover" style="position:relative;width:100%;max-width:800px;margin-left:auto;margin-right:auto;aspect-ratio:800/450;margin-bottom:2rem;overflow:hidden">
x4dmqa0r26aqephf6m4m2bg2lz3r6e75.jpg

FortiBleed из истории о массовой краже паролей у владельцев Fortinet превратился в историю о прямой дороге к вымогателям. В свежем отчете SOCRadar исследователи связали кампанию с инфраструктурой брокеров первичного доступа, через которую один оператор работал сразу с двумя вымогательскими проектами: INC Ransom и Lynx.

Ранее SOCRadar описала масштаб операции после обнаружения открытого рабочего сервера атакующих. На сервере хранились файлы, журналы и материалы, связанные с инфраструктурой кампании. Анализ показал 86 644 скомпрометированных устройства FortiGate, более 80 000 уникальных IP-адресов, 22 405 домена и жертв в 194 странах.

Новая публикация добавляет к картине не только масштаб, но и дальнейший путь украденного доступа. Исследователи нашли оператора, который входил в переговорные панели INC Ransom и Lynx и работал с требованиями выкупа. Lynx часто рассматривают как развитие или близкий проект INC Ransom, но в свежем отчете SOCRadar говорит о двух активных вымогательских операциях, связанных через общую инфраструктуру и одного участника.

Команда SOCRadar несколько недель отслеживала серверы FortiBleed и нашла более 200 дополнительных узлов, связанных со сканированием, перехватом данных и рабочими инструментами кампании. В расширенной инфраструктуре исследователи зафиксировали активность против примерно 11 250 порталов FortiGate в более чем 150 странах. Административный доступ подтвердился на 409 целях, а на 354 объектах атакующие прошли полную цепочку: взломали <span class="vpn-highlight" title="Использование VPN может нарушать законодательство РФ"><span class="vpn-highlight" title="Использование VPN может нарушать законодательство РФ">VPN</span></span>, получили доступ к контроллеру домена и добрались до прав администратора домена.

По данным SOCRadar, минимум 12 атак с программами-вымогателями уже связаны с доступом, полученным через FortiBleed. Внутренние документы операторов указывают на организованную группу примерно из 20 человек: основные участники вели наиболее серьезные вторжения, а вспомогательные специалисты занимались технической поддержкой, обработкой данных и сопровождением операций.

Сама схема FortiBleed не строилась вокруг новой неизвестной уязвимости. Атакующие использовали пароли из прежних утечек и журналов инфостилеров , проверяли доступ на открытых в интернете устройствах FortiGate, а после входа превращали захваченный шлюз в точку прослушивания SSL VPN-трафика. Для взлома перехваченных хешей применялся кластер из 45 графических процессоров через Hashtopolis. После получения учетных данных операторы заходили в Active Directory и закреплялись внутри корпоративных сетей.

<div class="banner-detailed">SOCRadar отдельно отмечает, что одно обновление прошивки не решало проблему для всех организаций. Если пароль уже попал к злоумышленникам и не менялся после прежнего инцидента, устройство оставалось доступным для повторного входа. В базе встречались типовые административные и системные учетные записи Fortinet, что говорит о слабой парольной гигиене у части жертв. Среди затронутых секторов исследователи называют телекоммуникационные компании, госструктуры, банки, больницы, университеты, энергетику и крупный бизнес. В массиве нашли 591 запись, связанную со 111 государственными доменами, а на телекоммуникационный сектор пришлось 5 616 записей.

Организациям с FortiGate и SSL VPN рекомендуют немедленно сменить пароли администраторов и VPN-пользователей, включить двухфакторную защиту, проверить журналы входов, закрыть внешний доступ к панели управления и обновить прошивку. Если устройство попало в набор FortiBleed, SOCRadar советует считать периметр уже скомпрометированным и начинать разбор инцидента.
 
Источник новости
www.securitylab.ru

Похожие темы