Взлом VPN, захват контроллера домена, права администратора. Операторы FortiBleed прошли полную цепочку атаки на 354 организациях

11030
Взлом VPN, захват контроллера домена, права администратора. Операторы FortiBleed прошли полную цепочку атаки на 354 организациях

Исследователи нашли связь FortiBleed с двумя группами вымогателей.

image

FortiBleed из истории о массовой краже паролей у владельцев Fortinet превратился в историю о прямой дороге к вымогателям. В свежем отчете SOCRadar исследователи связали кампанию с инфраструктурой брокеров первичного доступа, через которую один оператор работал сразу с двумя вымогательскими проектами: INC Ransom и Lynx.

Ранее SOCRadar описала масштаб операции после обнаружения открытого рабочего сервера атакующих. На сервере хранились файлы, журналы и материалы, связанные с инфраструктурой кампании. Анализ показал 86 644 скомпрометированных устройства FortiGate, более 80 000 уникальных IP-адресов, 22 405 домена и жертв в 194 странах.

Новая публикация добавляет к картине не только масштаб, но и дальнейший путь украденного доступа. Исследователи нашли оператора, который входил в переговорные панели INC Ransom и Lynx и работал с требованиями выкупа. Lynx часто рассматривают как развитие или близкий проект INC Ransom, но в свежем отчете SOCRadar говорит о двух активных вымогательских операциях, связанных через общую инфраструктуру и одного участника.

Команда SOCRadar несколько недель отслеживала серверы FortiBleed и нашла более 200 дополнительных узлов, связанных со сканированием, перехватом данных и рабочими инструментами кампании. В расширенной инфраструктуре исследователи зафиксировали активность против примерно 11 250 порталов FortiGate в более чем 150 странах. Административный доступ подтвердился на 409 целях, а на 354 объектах атакующие прошли полную цепочку: взломали VPN, получили доступ к контроллеру домена и добрались до прав администратора домена.

По данным SOCRadar, минимум 12 атак с программами-вымогателями уже связаны с доступом, полученным через FortiBleed. Внутренние документы операторов указывают на организованную группу примерно из 20 человек: основные участники вели наиболее серьезные вторжения, а вспомогательные специалисты занимались технической поддержкой, обработкой данных и сопровождением операций.

Сама схема FortiBleed не строилась вокруг новой неизвестной уязвимости. Атакующие использовали пароли из прежних утечек и журналов инфостилеров, проверяли доступ на открытых в интернете устройствах FortiGate, а после входа превращали захваченный шлюз в точку прослушивания SSL VPN-трафика. Для взлома перехваченных хешей применялся кластер из 45 графических процессоров через Hashtopolis. После получения учетных данных операторы заходили в Active Directory и закреплялись внутри корпоративных сетей.

Среди затронутых секторов исследователи называют телекоммуникационные компании, госструктуры, банки, больницы, университеты, энергетику и крупный бизнес. В массиве нашли 591 запись, связанную со 111 государственными доменами, а на телекоммуникационный сектор пришлось 5 616 записей.

Организациям с FortiGate и SSL VPN рекомендуют немедленно сменить пароли администраторов и VPN-пользователей, включить двухфакторную защиту, проверить журналы входов, закрыть внешний доступ к панели управления и обновить прошивку. Если устройство попало в набор FortiBleed, SOCRadar советует считать периметр уже скомпрометированным и начинать разбор инцидента.