«Русские хакеры» взломали данные правительства Великобритании и продали их за $60 тыс. в даркнете

171Русские хакеры187 взломали данные правительства Великобритании и продали их за 60 тыс. в даркнете

изображение: grok

Крупная кибератака затронула инфраструктуру Fortinet, скомпрометированы десятки тысяч межсетевых экранов, а украденные учётные записи уже продаются в даркнете. По сведениям The Telegraph, следы ведут к русскоязычным хакерским группам либо злоумышленникам из России. Официальных подтверждений происхождения группировки нет, расследование продолжается.

Атакующие эксплуатировали внутреннюю уязвимость продуктов Fortinet и подставляли ранее украденные логины, обходя защитные контуры и добираясь до корпоративных сетей. Исследователи дали кампании название FortiBleed.

Под ударом оказались свыше 80 тысяч устройств у самых разных заказчиков, от коммерческих компаний до государственных структур. Действующие пары «логин — пароль» открывали атакующим ящики корпоративной почты и внутреннюю переписку с конфиденциальными вложениями.

На даркнет-форуме пользователь под ником SantaAd торгует частями похищенного массива. За отдельные наборы просят до 44 тысяч фунтов стерлингов, около 60 тысяч долларов по текущему курсу. Покупатели интересуются доступами точечно, под конкретные цели, а не оптом.

Среди подтверждённых пострадавших называются:

  • сотрудники ИТ-отделов британских дипломатических миссий в Таиланде и на Маврикии;
  • ряд муниципальных структур Великобритании;
  • организации сферы здравоохранения и лабораторные комплексы;
  • энергетические компании и логистические операторы;
  • поставщики решений для аптечных сетей.

Стоит обратить внимание, что перечень раскрытых доступов пересекается с секторами, где сбой информационных систем ведёт к прямым угрозам жизни людей и остановке критических процессов.

Опасность утечки не сводится к разовой продаже архивов. Логины и пароли годятся для повторных проникновений, разворачивания программ-вымогателей, кражи новых массивов документов и последующего шантажа. Схема отработана рядом группировок за последние два года и приносит операторам миллионы долларов за один инцидент.

Доктор Саиф Абед в разговоре с The Telegraph отметил, что медицинские учреждения, лаборатории, аптечные сети и их подрядчики массово применяют решения, схожие с теми, что попали под удар в текущей кампании. По его оценке, подобные утечки регулярно оказываются точкой входа для последующих разрушительных атак с шифровальщиками и остановкой клинических систем.

Первым необычную активность зафиксировал специалист по кибербезопасности Владимир Дяченко. Разбор фрагментов вредоносного кода выявил комментарии на русском языке, однако сами по себе такие маркеры не позволяют однозначно установить страну происхождения атакующих и не служат доказательством в юридическом смысле. Практика ложных флагов в подобных операциях давно описана исследователями.

По словам Владимира Дяченко, кампания, вероятно, продолжается прямо сейчас. Скомпрометированные межсетевые экраны злоумышленники превращают в промежуточные узлы, через которые проводят разведку внутри сетей жертв, собирают карту сегментов, ищут почтовые серверы, файловые хранилища и системы резервного копирования.

Национальный центр кибербезопасности Великобритании выпустил экстренное предупреждение сразу после подтверждения инцидента и рекомендовал организациям следующие шаги:

  • провести внеплановый аудит всей инфраструктуры Fortinet;
  • проверить журналы событий на предмет подозрительных входов;
  • сменить пароли администраторов и сервисных учётных записей;
  • изолировать устройства с признаками компрометации от остальной сети;
  • уведомить регулятор при обнаружении несанкционированного доступа.

Интересно, что параллельно с рекомендациями регулятор фиксирует рост числа обращений от частных компаний, которые обнаружили в своих сетях следы, совпадающие с описанием FortiBleed.

Следствие пока не располагает доказательствами участия государственных ведомств какой-либо страны в этой кампании. Атрибуция группировки остаётся открытым вопросом, а версии о связи с конкретным государством пока держатся на уровне предположений. Продавец SantaAd продолжает публиковать новые лоты, торги ведутся, спрос на доступы к британским организациям заметно вырос за последнюю неделю.

Финансовая сторона инцидента для пострадавших складывается из нескольких статей расходов, которые уже сейчас можно оценить:

  • восстановление скомпрометированных устройств и переустановка прошивок;
  • расследование инцидента силами внешних подрядчиков;
  • уведомление клиентов и партнёров о возможной утечке;
  • юридическое сопровождение при обращениях регуляторов;
  • страховые выплаты и рост премий по киберполисам.

Ранее сообщалось, что специалисты Национального центра кибербезопасности Великобритании предупредили о стремительном росте числа государств, обладающих инструментами для проведения кибератак. По оценкам ведомства, входящего в структуру GCHQ, около 100 стран уже располагают программными средствами, способными использоваться для атак на британские сети и организации, а их количество продолжает увеличиваться. Эти выводы были представлены в преддверии конференции CYBERUK в Глазго, где представители разведывательного сообщества обсуждали актуальное состояние глобальных киберугроз. По данным NCSC, более половины государств мира уже получили доступ к средствам для несанкционированного проникновения в информационные системы.

Эксперты редакции CISOCLUB прокомментировали произошедшее и заявили, что кампания FortiBleed укладывается в устойчивый тренд последних лет, когда атакующие делают ставку на компрометацию периметровых устройств крупных вендоров и получают массовый доступ сразу к тысячам организаций. Специалисты редакции уточнили, что для британских заказчиков ситуация осложняется географией пострадавших миссий и чувствительностью данных дипломатической переписки.

Отдельно эксперты обратили внимание на скорость появления лотов в даркнете — от момента компрометации до выставления доступов на продажу прошло минимально возможное время, что говорит о хорошо отлаженной цепочке монетизации. Разрозненные атрибуции по языковым маркерам едва ли приведут к чётким выводам, а реальную картину покажет анализ инфраструктуры управления и криптокошельков продавца. Рекомендация для организаций остаётся прежней — считать любые устройства Fortinet потенциально скомпрометированными до завершения полной проверки.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: