Хакеры взломали полмира, но спалились на открытом сервере. Виновники FortiBleed найдены

leer en español

2745
Хакеры взломали полмира, но спалились на открытом сервере. Виновники FortiBleed найдены

Следы в инфраструктуре оказались даже красноречивее самой операции.

image

В недавней громкой вредоносной операции FortiBleed появились новые детали: исследователи связали кампанию не просто с массовым сбором паролей, а с группой вымогателей Lynx / INC, также известной как INC Ransom.

По данным SOCRadar, операторы кампании оставили открытым рабочий сервер, где хранились файлы, связанные с их инфраструктурой. Анализ этих данных позволил SOCRadar расширить картину операции: речь идёт о 86 644 скомпрометированных устройствах FortiGate, более чем 80 000 уникальных IP-адресов, 22 405 доменах и 194 странах.

Ранее вокруг FortiBleed главным оставался вопрос масштаба утечки и способа входа в устройства Fortinet. Новое обновление добавляет к этой картине возможного исполнителя. Lynx / INC работает как группа вымогателей и, по данным SOCRadar, с 2023 года атакует корпоративные сети в здравоохранении, образовании, госсекторе и промышленности, прежде всего в Северной Америке и Европе.

Сама схема FortiBleed строилась не вокруг новой неизвестной уязвимости. Операторы брали пароли из прежних утечек и журналов инфостилеров, затем автоматически проверяли их на доступных из интернета устройствах FortiGate. После входа захваченный шлюз превращался в точку прослушивания SSL VPN-трафика и помогал собирать новые учётные данные.

Отдельное внимание SOCRadar уделяет тому, что обновление прошивки само по себе не закрывало проблему для многих организаций. Если пароль уже попал к злоумышленникам и не менялся после прежнего инцидента, устройство оставалось уязвимым для повторного входа. В базе также встречались типовые административные и системные учётные записи Fortinet, что указывает на слабую парольную гигиену у части жертв.

Среди затронутых секторов исследователи выделяют телекоммуникации, госструктуры, банки, больницы, университеты, энергетические компании и крупный бизнес. В массиве нашли 591 запись, связанную со 111 государственными доменами, а телекоммуникационный сектор дал 5 616 записей.

Организациям с FortiGate и SSL VPN рекомендуют немедленно сменить пароли администраторов и VPN-пользователей, включить двухфакторную защиту, проверить журналы входов, закрыть внешний доступ к панели управления и обновить прошивку. Если устройство найдено в наборе FortiBleed, SOCRadar советует считать периметр уже скомпрометированным и начать разбор инцидента.