APT-группа атаковала муниципальное правительство в США через установку Fortinet

APT-группа атаковала муниципальное правительство в США через установку Fortinet

Хакеры проэксплуатировали уязвимости в Fortinet с для доступа к web-серверу, на котором размещен домен муниципального правительства.

ФБР сообщило об атаке иностранных хакеров на местное муниципальное правительство в США. Как показало расследование, взлом был осуществлен через уязвимости в сетевом оборудовании Fortinet.

Инцидент был обнаружен в мае 2021 года, примерно через месяц после того, как ФБР предупредило частный и государственный сектор о необходимости установить исправления для уязвимостей в оборудовании Fortinet. Как ранее сообщал SecurityLab, в апреле бюро предупредило о том, что APT-группы сканируют интернет в поисках установок Fortinet FortiOS VPN, уязвимых к CVE 2018-13379 , CVE-2020-12812 и CVE-2019-5591 . Однако, несмотря на предупреждение властей, по крайней мере одна правительственная организация все-таки стала жертвой хакеров.

«Как минимум в мае 2021 года APT-группа проэксплуатировала установку Fortinet с целью получения доступа к web-серверу, на котором размещен домен муниципального правительства в США», - говорится в новом уведомлении ФБР.

По данным бюро, злоумышленники создали бэкдор-аккаунт с именем elie, использовавшийся ими для получения доступа через установку Fortinet к сети правительственной организации. Как правило, получив доступ к сети, злоумышленники создают дополнительные бэкдор-аккаунты для доступа к контроллерам домена, серверам, рабочим станциям и Active Directory.

«Некоторые из этих учетных записей, похоже, были созданы таким образом, чтобы выглядеть аналогично другим существующим учетным записям в сети, поэтому конкретные имена учетных записей могут отличаться в зависимости от организации», - сообщило ФБР.

ФБР еще раз обратилось к организациям и настоятельно рекомендовало обновить уязвимое оборудование Fortinet. В бюро надеются, что опубликованный им реальный пример станет стимулом для других поскорее установить исправление.


В нашем телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как выжить в цифровом кошмаре!