FortiBleed kihasználás elemzése

Editors' Pick

A CloudSEK elemzése szerint a FortiBleed kampány mögött álló támadók egyik nyilvánosan elérhető szervere rendkívül részletes betekintést adott a teljes művelet működésébe. A kutatók megállapították, hogy a FortiBleed nem egy új Fortinet sérülékenység vagy zero-day exploit, hanem egy ipari méretű hitelesítőadat-gyűjtő és hozzáférésszerző művelet, amely FortiGate tűzfalakat és SSL VPN-eket célzott. 

A szerveren megtalált adatok alapján a támadók több mint 320 000 internet felől elérhető FortiGate eszközt vizsgáltak, több mint 1,16 milliárd hitelesítési próbálkozást hajtottak végre, majd a megszerzett konfigurációkból és SSL VPN hitelesítési adatokból származó hash-eket egy 45 GPU-ból álló Hashtopolis klaszteren törték fel. A nyitott könyvtárban megtalálhatók voltak a jelszótörési feladatok, konfigurációs exportok, VPN-konfigurációk, érvényes hitelesítő adatok, valamint olyan állományok is, amelyek bizonyították, hogy a támadók nem csupán adatokat gyűjtöttek, hanem ténylegesen be is jelentkeztek egyes célpontok rendszereibe.

A CloudSEK szerint az infrastruktúra arra utal, hogy a csoport kezdeti hozzáférés-brókerként (Initial Access Broker) működhetett, mivel az összegyűjtött hozzáféréseket rendszerezve, vállalati profilok szerint kategorizálva tárolta. 

A szerveren talált bizonyítékok alapján a művelet célja nem egyszerű credential harvesting volt, hanem a kompromittált FortiGate eszközökön keresztüli hálózati hozzáférés megszerzése és későbbi értékesítése vagy további támadások előkészítése. A vizsgálat ugyanakkor azt is megerősítette, hogy a FortiBleed mögött nem egy új Fortinet-hiba áll, hanem a hitelesítő adatok újrahasznosítása, korábbi szivárgásokból származó jelszavak felhasználása, konfigurációexportok megszerzése és nagyléptékű offline jelszótörés kombinációja. 

FORRÁS