A támadók világszerte több mint 430 000 FortiGate tűzfalat céloztak meg, és több mint 110 millió hitelesítő adatot gyűjthettek be.
A SOCRadar Threat Research Unit új jelentése szerint a FortiBleed nevű kampány az elmúlt évek egyik legnagyobb hitelesítőadat-gyűjtő művelete lehet.
A kampány különösen veszélyes, mert nem kizárólag ismert sérülékenységek kihasználására épül, hanem nagy volumenű felderítést, brute-force támadásokat, credential stuffing módszereket, hálózati forgalomfigyelést és jelszóhash-törést kombinál.
Több százezer FortiGate eszköz került célkeresztbe
A FortiBleed középpontjában a Fortinet FortiGate tűzfalai állnak, amelyeket vállalatok, kormányzati szervek, egészségügyi intézmények, menedzselt szolgáltatók és kritikus infrastruktúrák is széles körben használnak.
Ezek az eszközök gyakran kulcsszerepet töltenek be:
- VPN-hozzáférésben,
- távoli adminisztrációban,
- belső hálózati kapcsolatok kezelésében,
- hitelesítési forgalom irányításában.
Ha egy támadó hozzáférést szerez egy ilyen peremvédelmi eszközhöz, értékes hitelesítési adatokat, hálózati információkat és további támadási lehetőségeket szerezhet.
Ötfázisú támadási modell
A kutatók szerint a FortiBleed művelet öt jól elkülöníthető szakaszból áll.
1. Ipari méretű felderítés
A támadók először internetméretű szkennelést végeznek.
Ehhez többek között a Masscan nevű nagy sebességű hálózati szkennert használják, majd az adatokat egy egyedi felderítő platformmal, a Shodan_Recon rendszerrel egészítik ki.
Ezt követően egy saját eszköz, a FortiProbe-fast segít kiszűrni a valódi FortiGate rendszereket a nyers találatok közül.
A célpontokat nem véletlenszerűen választják ki. A kutatók szerint a támadók üzleti adatok alapján rangsorolják az áldozatokat, például:
- vállalatméret,
- becsült éves árbevétel,
- iparági jelentőség,
- hozzáférési érték alapján.
2. Hitelesítőadat-támadások
A következő szakaszban a támadók SSH brute-force és credential stuffing módszerekkel próbálnak hozzáférést szerezni FortiGate adminisztrációs felületekhez és SSL-VPN portálokhoz.
A kutatók legalább 16 FortiGate-specifikus jelszószótárat azonosítottak.
Ezek tartalmazhatnak:
- gyakori adminisztrátori felhasználóneveket,
- vállalati mintákat,
- korábban kiszivárgott jelszavakat,
- tipikus VPN-hitelesítési adatokat.
A credential-alapú támadások gyakran kevésbé feltűnőek, mint a sérülékenység-kihasználás, ezért a támadók számára különösen vonzóak.
3. Passzív hitelesítőadat-gyűjtés
A kampány egyik központi eszköze egy Golang nyelven írt program, a FortigateSniffer.
Ez nem hagyományos malware-ként működik, hanem egy legitim FortiOS parancsot használ:
diagnose sniffer packet
Ezzel a támadók a kompromittált eszközön áthaladó hálózati forgalmat figyelhetik.
A kutatók szerint az eszköz legalább 24 vállalati protokoll hitelesítési forgalmát képes gyűjteni, többek között:
- Kerberos,
- NTLM,
- LDAP,
- RADIUS,
- MSSQL,
- RDP,
- SMB,
- egyéb vállalati identitás- és hozzáféréskezelési protokollok.
Mivel a módszer natív rendszerfunkciót használ, a felismerése sokkal nehezebb lehet, mint egy hagyományos rosszindulatú binárisé.
Érdekesség, hogy a forgalomgyűjtés jellemzően 07:00 és 18:00 moszkvai idő között fut. A kutatók szerint ezzel a támadók megpróbálhatják a tevékenységet normál munkaidős forgalomnak álcázni.
4. Elosztott jelszótörés
A begyűjtött hitelesítési hash-eket a támadók nagy teljesítményű infrastruktúrán törik.
Ehhez a kutatók szerint az alábbi eszközöket használják:
- Hashtopolis – elosztott jelszótörési feladatok menedzselésére;
- Hashcat – offline jelszóhash-töréshez.
A háttérben dedikált GPU-klaszterek és bérelt felhős GPU-erőforrások is megjelennek, például vast.ai típusú piactereken keresztül.
A kutatók Telegram-alapú menedzsmentfelületet is azonosítottak, amely valós idejű státuszinformációkat küldött egy hardcoded adminisztrátori fióknak.
5. Kihasználás és oldalirányú mozgás
Amint a támadók sikeresen feltörnek egy hitelesítő adatot, gyorsan megkezdik annak felhasználását.
A SOCRadar szerint dokumentáltak:
- Active Directory környezeteken belüli oldalirányú mozgást,
- jogosultságemelési kísérleteket,
- érzékeny vállalati adatok gyűjtését,
- backup repository-k célzott keresését.
Egy megerősített incidensben egy NATO-hoz köthető védelmi beszállítónál történt adatlopás röviddel azután, hogy a támadók Kerberos hitelesítési adatokat szereztek.
A kutatók szerint a hitelesítő adatok visszafejtése és az aktív kihasználás között mindössze percek telhetnek el, ami erősen automatizált működésre utal.
Ellenálló és jól szervezett infrastruktúra
A FortiBleed infrastruktúrája több kelet-európai szolgáltatón keresztül működik, és külön funkciókra bontott szervercsoportokat használ.
A kutatók azonosítottak külön alhálózatokat:
- command-and-control aggregációra,
- hitelesítő adatok validálására,
- sniffer telepítésére,
- proxy rotációra,
- operátori menedzsmentre.
A támadók saját laboratóriumi környezetet is fenntartottak, több Kali Linux virtuális géppel, QEMU/KVM virtualizáció alatt.
Ez a működés nem alkalmi támadókra, hanem jól szervezett, hosszú távra berendezkedett kiberbűnözői infrastruktúrára utal.
Orosz nyelvű kötődések
A kutatók nem adtak ki végleges attribúciót, de több jel is orosz nyelvű vagy kelet-európai szereplőkre utal.
Ilyen jelek például:
- cirill betűs fejlesztői megjegyzések,
- moszkvai idő szerinti működési minták,
- kelet-európai infrastruktúra,
- Initial Access Broker jellegű működés.
Az Initial Access Brokerek olyan kiberbűnözők, akik hozzáférést szereznek vállalati hálózatokhoz, majd ezt továbbértékesítik zsarolóvírus-csoportoknak, adatlopó csoportoknak vagy más támadóknak.
A kisebb és közepes vállalatok különösen érintettek
A jelentés egyik fontos megállapítása, hogy az azonosított áldozatok többsége nem nagyvállalat.
A kutatók szerint:
- az áldozatok körülbelül 66%-a kevesebb mint 200 főt foglalkoztat;
- közel 90%-uk éves árbevétele 100 millió dollár alatt van.
Ez arra utal, hogy a támadók kifejezetten olyan szervezeteket is céloznak, amelyeknél gyakran nincs dedikált SOC, fejlett naplóelemzés vagy kiforrott incidenskezelés.
Földrajzilag különösen érintett országok:
- India,
- Egyesült Államok,
- Tajvan.
Iparági szempontból az IT-szolgáltatók és menedzselt szolgáltatók különösen vonzó célpontok, mert egyetlen kompromittálás több ügyfélhez is hozzáférést adhat.
Miért veszélyes a FortiBleed?
A FortiBleed nem csupán egy hagyományos malware-kampány.
A művelet lényege az identitások és hitelesítő adatok ipari méretű begyűjtése.
Ez azért különösen veszélyes, mert érvényes hitelesítő adatokkal a támadók gyakran könnyebben megkerülik a biztonsági védelmeket, mint technikai exploitokkal.
Egy megszerzett VPN-, Kerberos- vagy adminisztrátori hitelesítő adat lehetővé teheti:
- belső rendszerek elérését,
- oldalirányú mozgást,
- jogosultságemelést,
- adatlopást,
- zsarolóvírus előkészítését,
- tartós hozzáférés kiépítését.
Mit tegyenek az érintett szervezetek?
A kutatók az alábbi intézkedéseket javasolják:
- minden Fortinet VPN- és adminisztrátori hitelesítő adat rotálása;
- többfaktoros hitelesítés kötelezővé tétele;
- FortiGate menedzsmentfelületek internetes kitettségének megszüntetése;
- VPN- és adminisztrátori naplók átvizsgálása;
- gyanús Kerberos-, NTLM- és VPN-hitelesítések keresése;
- Active Directory credential hygiene vizsgálat;
- oldalirányú mozgás jeleinek ellenőrzése;
- szokatlan diagnosztikai vagy packet sniffer parancsok keresése;
- incidensvizsgálat indítása, ha bármilyen FortiBleed-indikátor megjelenik.
Összegzés
A FortiBleed kampány rávilágít arra, hogy a támadók egyre inkább az identitásokat, hitelesítő adatokat és peremvédelmi eszközöket célozzák.
A több mint 430 000 célzott FortiGate eszköz és a több mint 110 millió begyűjtött hitelesítő adat azt mutatja, hogy a credential-alapú támadások ipari méretűvé váltak.
A szervezeteknek nem elég kizárólag sérülékenységeket javítaniuk. Ugyanolyan fontos a hitelesítő adatok védelme, a VPN-hozzáférések ellenőrzése, az MFA bevezetése, valamint a peremvédelmi eszközök folyamatos monitorozása.
A FortiBleed egyértelmű figyelmeztetés: a modern támadások nem mindig látványos exploitokkal kezdődnek. Gyakran csendben, hitelesítő adatok begyűjtésével építik fel a későbbi kompromittálás alapját.
