Atacatorii nu au exploatat vulnerabilități zero-day sau breșe complexe de securitate. În schimb, au folosit instrumente automate pentru a scana internetul în căutarea firewall-urilor și VPN-urilor Fortinet expuse. Odată găsite, au încercat să se conecteze folosind liste de parole cunoscute, scurse anterior. „Odată ce un dispozitiv este compromis, hackerii îl folosesc ca punct de ascultare, monitorizând traficul care trece și colectând orice credențiale suplimentare care circulă. Aceste parole proaspăt furate sunt apoi reintroduse în scaner pentru a compromite și mai multe dispozitive. Sistemul se autoalimentează”, explică SOCRadar în raportul său.
Hudson Rock susține că a găsit dovezi care indică peste 73.000 de URL-uri Fortinet unice compromise, în timp ce SOCRadar estimează numărul la peste 30.000 de dispozitive. Diferența poate veni din metodele de detectare, dar ambele firme sunt de acord că amploarea este uriașă. Cele mai afectate țări sunt India, Statele Unite, Taiwan și Mexic, dar victime se găsesc pe toate continentele. Pe sectoare, cele mai lovite sunt serviciile IT, materialele de construcții și telecomunicațiile. Agențiile guvernamentale nu au fost nici ele ocolite, potrivit SOCRadar.
Fortinet, producătorul acestor dispozitive, a reacționat printr-un comunicat: „Suntem conștienți de o campanie raportată de terți de colectare a credențialelor care vizează firewall-urile și gateway-urile VPN Fortinet. Pe baza analizei noastre, datele implicate reprezintă o redistribuire a informațiilor din incidente anterioare, precum și forțarea brută a credențialelor, și nu sunt legate de niciun incident sau avertisment recent.” Cu alte cuvinte, compania sugerează că nu este vorba despre o nouă vulnerabilitate, ci despre neglijența utilizatorilor care nu au schimbat parolele implicite sau nu au actualizat setările de securitate.
Cercetătorul independent de securitate Kevin Beaumont a analizat datele și a confirmat că „sunt legitime”. „Nu este o noutate că oamenii nu își schimbă parolele, dar când vezi că zeci de mii de dispozitive critice sunt compromise din această cauză, devine o problemă sistemică”, a scris Beaumont pe blogul său. El atrage atenția că această campanie ar putea fi doar vârful aisbergului, deoarece multe companii nici măcar nu știu că au fost sparte.
Atacul a fost descoperit inițial de cercetătorul Bob Diachenko, care a găsit o listă de credențiale pentru dispozitive Fortinet și companiile asociate. Atât Hudson Rock, cât și SOCRadar cred că grupul din spatele campaniei este vorbitor de limbă rusă, deși nu au oferit nume specifice. În trecut, alte grupări rusești au fost implicate în atacuri similare asupra infrastructurii critice.
Ce înseamnă asta pentru companii? În primul rând, este un semnal de alarmă că securitatea cibernetică nu ține doar de tehnologie, ci și de igiena digitală de bază. Schimbarea periodică a parolelor, utilizarea autentificării cu doi factori și monitorizarea constantă a traficului sunt măsuri simple, dar esențiale. În al doilea rând, arată că nici cele mai mari corporații nu sunt imune la erori umane. Accenture, Comcast, Samsung – toate au fost vizate, iar unele dintre ele nu au răspuns solicitărilor de comentarii, ceea ce sugerează că ar putea fi încă în faza de evaluare a pagubelor.
Pe lângă furtul de date, aceste dispozitive compromise pot fi folosite ca puncte de intrare pentru atacuri ransomware sau pentru spionaj industrial. „Hackerii nu doar fură parole, ci pot accesa rețelele interne, pot instala malware și pot escalada privilegii”, avertizează specialiștii. De aceea, FortiBleed nu este doar o încălcare a securității, ci o amenințare persistentă care necesită acțiuni imediate.
Pentru utilizatorii obișnuiți, această știre poate părea îndepărtată, dar efectele se pot resimți în lanț: dacă o companie de telecomunicații este spartă, datele clienților pot fi expuse. Dacă un furnizor de servicii IT este compromis, toți clienții săi devin vulnerabili. Așadar, este o problemă care ne privește pe toți.
În concluzie, campania FortiBleed demonstrează că, în ciuda investițiilor uriașe în securitate, cel mai slab punct rămâne factorul uman. Parolele slabe sau reutilizate sunt o poartă deschisă pentru hackeri, iar consecințele pot fi devastatoare. Companiile trebuie să își revizuiască urgent politicile de securitate, iar utilizatorii să fie mai conștienți de riscuri. Până atunci, atacatorii continuă să scaneze, să spargă și să fure.
