FortiBleed: кража учетных данных FortiGate и атаки вымогателей

FortiBleed: как массовый сбор credentials с FortiGate превратился в конвейер для ransomware

Кампания FortiBleed предстала в новом свете после того, как исследователи раскрыли её истинный масштаб и связь с экосистемой вымогателей. Операция, нацеленная на более чем 430 000 межсетевых экранов FortiGate по всему миру, оказалась не просто кражей учётных данных, а отлаженным механизмом работы initial access broker (IAB), напрямую связанным с развёртыванием программ-вымогателей.

Инструмент атакующего: FortigateSniffer

В основе операции лежит самописный инструмент на Golang, получивший название FortigateSniffer. Его задача — пассивный перехват аутентификационного трафика (authentication traffic) путём эксплуатации встроенной команды diagnose sniffer packet операционной системы FortiOS. Злоумышленник действовал как initial access broker, используя этот сниффер для извлечения чувствительных credentials через различные протоколы.

Масштабы компрометации

Сканирование охватило порядка 11 250 порталов FortiGate в более чем 150 странах. Полученные данные говорят сами за себя:

  • Подтверждён административный доступ к 409 целям;
  • На 354 объектах реализована полная цепочка атаки — от компрометации VPN до получения контроля над domain controller;
  • Зафиксировано как минимум 12 случаев развёртывания ransomware, затронувших сотни конечных точек.

Связь с группировками INC Ransom и Lynx

Решающий прорыв в расследовании произошёл после того, как специалисты STRU обнаружили OPSEC fail в инфраструктуре противника. Утечка открыла доступ к внутренним файлам и журналам, в том числе к данным о взаимодействии с переговорными панелями INC Ransom и Lynx. Выяснилось, что управление требованиями выкупа для обеих групп осуществлял один и тот же оператор. Это доказывает прямую эксплуатацию credentials, собранных в рамках FortiBleed, для последующего развёртывания шифровальщиков.

Дополнительным подтверждением связи стало пересечение жертв. Сопоставив данные FortiBleed с содержимым открытого каталога, ассоциированного с INC, исследователи убедились: отслеживались одни и те же организации.

Внутренняя кухня: команда из 20 человек

Анализ внутреннего документа, описывающего менеджмент целей FortiGate, пролил свет на структуру операции. Документ содержал записи об использовании credentials, доступе к сетям и эпизодах развёртывания ransomware. Эти сведения указывают на многоуровневую организацию численностью около 20 человек. В неё входят:

  • Ключевые операторы, выполняющие наиболее критичные вторжения и обеспечивающие максимальный импакт;
  • Вспомогательные специалисты, поддерживающие инфраструктуру, сбор данных и рутинные задачи.

Таким образом, FortiBleed перестала быть абстрактной угрозой и превратилась в документированную связку между массовым сбором credentials и действующими партнёрскими программами вымогателей, демонстрируя растущую индустриализацию киберпреступности.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: