Исследователи обнаружили масштабную утечку данных в межсетевые экраны Fortinet, которая предоставила атакующим практически неограниченный доступ к системам некоторых из крупнейших организаций мира, включая Oracle, Chevron, Lenovo, Federal Express (оборонный подрядчик НАТО) и саму компанию Fortinet.
Почти 74 тысяч устройств с более чем 21 тысячей IP-адресов в 194 странах были скомпрометированы, а их учётные данные в открытом виде оказались в Сети, сообщил Боб Дьяченко, ИБ-исследователь и руководитель SecurityDiscovery.com — это произошло после получения доступа к серверу управления и контроля и другой инфраструктуре. В дампе — среди прочего — содержались сведения об отрасли, доходах и количестве сотрудников указанных жертв.
Независимый исследователь Кевин Бомонт подтвердил подлинность и актуальность учётных данных в журналах злоумышленников благодаря логам атак. Во многих случаях после взлома устройств хакеры получали доступ к централизованным системам аутентификации пострадавших организаций, таким как серверы Radius и Microsoft Active Directory. По некоторой информации, пострадала примерно половина всех межсетевых экранов Fortinet, подключённых к Интернету.
«Масштаб этого взлома затрагивает практически все секторы мировой экономики, не щадя ни одной отрасли, — отметили безопасники из Hudson Rock. — Злоумышленники создали проверенную базу действующих учётных данных для некоторых крупнейших предприятий на планете». Атакующие начали с массового сканирования Сети на предмет конечных точек удалённого входа FortiGate, затем — с помощью собственного двоичного файла с 25 тысячами потоков — распылили на сотни тысяч этих конечных точек тысячи комбинаций логина и пароля. Успешные попытки дали возможность вести «подслушивание сети внутри организации».
В Hudson Rock сообщили, что хакеры «активно перехватывали хэши аутентификации SSL VPN и взламывали их, используя массивный выделенный кластер из 45 графических процессоров, управляемый через Hashtopolis». После этого они применили кластер графического процессора для взлома хэшей, то есть перепробовали множество комбинаций простых текстовых паролей, пока не нашли правильный. Данные пароли позволяли атакующим действовать в горизонтальном направлении и компрометировать среды Active Directory и другие централизованные системы аутентификации. «Эта агрессивная методология привела к серьёзным, реальным последствиям», — заключили исследователи.
По словам Дьяченко, налицо полная компрометация сети во многих организациях в Японии, Тайване, Вьетнаме, Ираке и Турции — там пострадал оборонный подрядчик НАТО, из систем которого «группа успешно извлекла секретные военные документы».
По информации же Hudson Rock, основными локациями, где были обнаружены взломанные устройства, являются Индия, США, Тайвань, Мексика, Турция и Таиланд. Больше всего ущерба нанесено отраслям ИТ-услуг, телекоммуникаций, строительства и машиностроения, промышленного оборудования и финансов. Затронуты такие организации, как Foxconn, Samsung, Comcast, Siemens, PwC и Accenture. Сообщается, что в базе данных перечислены тысячи других компаний, включая крупные правительственные учреждения и поставщиков КИИ.
Усам Оздемиров
.jpg)
