74 000 устройств — только начало. Как FortiBleed собирала пароли, копила доступы и продавала их на форумах

FortiBleed началась как массовый подбор паролей, но превратилась в цепочку атак, где захваченные межсетевые экраны собирали новые учётные данные для следующих взломов. Новая хронология показывает, что опубликованная база с паролями от FortiGate была лишь одной частью операции.

В феврале злоумышленники начали массово сканировать интернет и перебирать пароли к RDWeb, Sophos и Citrix SSL VPN, открытым RDP-службам и базам Microsoft SQL Server. Позже операторы переключились на FortiGate. Первая утечка содержала данные почти от 74 000 устройств Fortinet, но масштаб сбора учётных данных оказался значительно шире.

Fortinet не связывает кампанию с новой уязвимостью. Производитель считает, что атакующие повторно используют данные прежних инцидентов и подбирают слабые пароли на устройствах без двухфакторной защиты. Информация о применении старых непропатченных уязвимостей для обхода аутентификации требует дополнительного подтверждения: в текущем уведомлении Fortinet конкретные CVE не называет.

Получив права администратора, операторы подключались к FortiGate по SSH и запускали FortigateSniffer, написанный на Go. Инструмент использует встроенную команду FortiOS diagnose sniffer packet, которую администраторы применяют для поиска проблем с сетью и аутентификацией. Захваченный межсетевой экран начинал перехватывать проходящий через него трафик.

С мая FortigateSniffer отслеживал данные 24 протоколов, включая Kerberos, LDAP, SMB, RADIUS, RDP, WinRM, Microsoft SQL Server, MySQL, PostgreSQL, SMTP, IMAP, POP3, FTP и Telnet. Скрипт искал пароли, хеши, билеты Kerberos, данные NTLM, токены и другие секреты для входа. Работу инструмента подробно описали в отчёте.

Компонент SNIFTRAN преобразовывал перехваченный трафик в файлы PCAP. Python-инструменты извлекали из файлов учётные данные в открытом виде и хеши NTLM и Kerberos для Hashcat. Пароли от SMTP, IMAP, POP3, MySQL и RADIUS удавалось получить без взлома, когда службы передавали данные без надёжной защиты.

Хеши отправляли на арендованные графические процессоры для подбора паролей. CloudSEK обнаружила шесть облачных инстансов примерно с 36 графическими процессорами, а Prodaft изучила серверную инфраструктуру операторов. Рабочие пароли проверяли во взломанных сетях, использовали для расширения доступа и добавляли в каталог для продажи другим группам.

Операцию связывают с русскоязычным брокером первичного доступа, который взламывает сети и перепродаёт доступ. Unit 42 обнаружила на форуме Exploit аккаунт SantaAd, взявший ответственность за кампанию и предложивший данные на продажу, но не подтвердила связь учётной записи с FortiBleed. SOCRadar сообщает, что часть инфраструктуры операторов продолжала работать на момент публикации отчёта.

Владельцам FortiGate рекомендуют немедленно сменить пароли, завершить активные сеансы администраторов и VPN, включить двухфакторную защиту, проверить журналы входов и закрыть внешний доступ к панели управления.