СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
2 часа назад
#ИБ

FortiBleed: массовая кража учетных данных FortiGate и SSL VPN

FortiBleed — это крупная кампания по компрометации учетных данных, нацеленная на межсетевые экраны Fortinet FortiGate и шлюзы SSL VPN, доступные из интернета. По данным отчета, речь идет не об уязвимости программного обеспечения и не об zero-day exploit, а о результате целенаправленного накопления базы данных с использованием повторно примененных учетных данных, атак brute force и офлайн-взлома хешей на уже скомпрометированных устройствах.

Два уровня атаки

Авторы отчета описывают следы злоумышленников как набор скриптов и инструментов, распределенных по нескольким операционным слоям. Такой подход указывает на системную, многоэтапную кампанию, которая выходила далеко за пределы отдельного инцидента.

  • Layer 1 — учетные данные, извлеченные из экспортов конфигураций устройств через открытые интерфейсы управления. В них обнаружены как устаревшие хеши формата salted-SHA256, так и более новые хеши формата PBKDF2, позволяющие идентифицировать администраторов межсетевых экранов.
  • Layer 2 — более продвинутые техники захвата учетных данных, включая данные Kerberos pre-authentication, полученные через прослушивание сетевого трафика после lateral movement. Это, в частности, раскрывало внутренние доменные имена Active Directory из инфраструктуры жертвы.

В отчете отдельно отмечается, что атрибуция по регистрационным email-лицензий FortiGuard затруднена: многие высокоуровневые учетные данные связаны не с самими корпорациями, а с подрядчиками или дочерними компаниями.

Инструменты, выходящие за пределы firewall

Операционный набор инструментов свидетельствует о том, что кампания не ограничивалась только проникновением в межсетевой экран. Среди упомянутых средств:

  • ad_enum.py — для перечисления объектов Active Directory через LDAP;
  • spray_admin.sh — для выполнения password spraying против внутренних domain controllers.

По оценке исследователей, заявленная мощность взлома была связана не с выделенным кластером, а с относительно скромной конфигурацией арендованных GPU-инстансов. Это может означать, что реальные ресурсы кампании были недооценены.

targets_300M_plus.txt и признаки реального доступа

Особое внимание в отчете привлекает набор данных targets_300M_plus.txt, который ранжирует SSH- и VPN-конечные точки по уровню доходов. Это, по мнению авторов, подтверждает, что злоумышленники располагали именно доступом, а не просто списками скомпрометированных паролей.

При этом происхождение атакующих определить точно сложно. В инструментах обнаружены лингвистические признаки, указывающие на Russian influence, однако множество именованных паролей также может свидетельствовать о связях с Persian регионами.

Масштаб компрометации

Согласно отчету, наибольшее число затронутых устройств зафиксировано в India, далее следуют United States и Taiwan. При этом заявленные около 21 000 скомпрометированных доменов не отражают полностью реальный масштаб: большинство из них относятся к внутренним именам сетей, которые не могут быть отслежены извне.

Смешение публичных и не маршрутизируемых доменных записей указывает на кампанию широкого охвата, которая без разбора сканировала экспонированные продукты Fortinet, не имея конкретной цели.

Что рекомендуют организациям

Учитывая сложность операции, исследователи советуют организациям с открытыми интерфейсами управления FortiOS считать свои учетные данные скомпрометированными. В числе ключевых мер реагирования названы следующие:

  • исключение публичного доступа к интерфейсам управления;
  • ротация учетных данных администраторов и VPN;
  • включение многофакторной аутентификации;
  • обновление устройств до последней версии FortiOS;
  • аудит на наличие backdoor accounts и необычных шаблонов входа;
  • замена устройств при наличии явных признаков компрометации.

Вывод: FortiBleed демонстрирует, что даже без громкого zero-day exploit злоумышленники способны построить масштабную и многоуровневую кампанию, опираясь на повторное использование учетных данных, офлайн-взлом и расширение доступа за пределы первоначально скомпрометированного perimeter.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: