Masowy atak na urządzenia Fortinet. Prawie 74 tys. przejętych urządzeń. Kulisy kampanii FortiBleed

To nie pierwszy raz, kiedy urządzenia mające gwarantować bezpieczeństwo sieci stały się “główną furtką” do uzyskania nieuprawnionego dostępu. Najsmutniejsze w tym wszystkim jest to, że cyberprzestępcy nie używali nawet skomplikowanych eksploitów. Wystarczyło masowe skanowanie internetu, wyciągnięcie plików konfiguracyjnych i klaster złożony z kilkudziesięciu kart graficznych. Efekt – ponad 73 tysiące firewalli firmy Fortinet zostało przejętych.

TLDR:

• Jak donoszą niezależni badacze oraz Hudson Rock, cyberprzestępcy przeprowadzili masowy atak wymierzony w systemy Fortinet.
• Kampania, nazwana FortiBleed, doprowadziła do przejęcia prawie 74 tysięcy aktywnych urządzeń (co stanowi blisko połowę globalnej sieci producenta).
• Schemat ataku był dosyć prosty: skanowanie sieci, przejęcie plików konfiguracyjnych, wyciągnięcie hashy haseł oraz łamanie ich na kilkudziesięciu kartach graficznych.
• Za operacją stoi najprawdopodobniej rosyjskojęzyczna grupa cyberprzestępcza o charakterze Initial Access Brokers (handlująca dostępem do danej infrasturktury).

Ujawniona baza danych odsłania kulisy masowej operacji – ochrzczonej mianem FortiBleed, którą jako pierwszy wykrył badacz bezpieczeństwa Volodymyr “Bob” Diachenko. Następnie zespół analityków z Hudson Rock oraz Kevin Beaumont poddali szczegółowej analizie działania cyberprzestępców.

Za atakiem stoi rosyjskojęzyczna grupa cyberprzestępcza dysponująca rozproszoną infrastrukturą obliczeniową. W jej skład wchodził klaster złożony z 45 kart graficznych, zarządzany za pomocą platformy Hashtopolis. Dzięki niej cyberzbóje mogli efektywnie “łamać hasła” dysponując jedynie ich kryptograficznym skrótem. 

Zgodnie z ustaleniami badaczy, cyberprzestępcy wykorzystali automatyczne narzędzia do skanowania internetu w poszukiwaniu urządzeń Fortinet, których panele zarządzania były wystawione do sieci. Następnie, korzystając z niezałatanych podatności wykradali pliki konfiguracyjne, co w konsekwencji pozwoliło na wyciągnięcie hashy haseł. 

Dysponując takim materiałem nic nie stało na przeszkodzie, aby wrzucić pozyskane dane do Hashtopolisa i cierpliwie poczekać na wyniki. W tym miejscu cyberprzestępcy mogli czuć się spokojni, działania te realizowane były w trybie offline, a co za tym idzie mechanizmy monitorujące liczbę nieudanych prób logowania (rate-limiting) nie mają znaczenia.

Na pierwszy rzut oka hasła wydają się bardzo skomplikowane, niemożliwe do złamania na sprzęcie posiadanym przez cyberprzestępców (nawet w przypadku algorytmu md5 lub SHA-256). A co za tym idzie droga prowadząca do ich złamania musiała być inna niż zwykły brute force. I tak rzeczywiście było. Pomocne okazały się stealery oraz specjalnie przygotowane słowniki, budowane na bazie przechwyconych haseł.

Zapewne czujne oko zauważy, że jedno z haseł (gwm1607pmwgwm1607pmwgwm1607pmw) składa się z dwóch słów kodowych oraz ciągu cyfr powtórzonych trzykrotnie. Dla tak skonstruowanego hasła atak mógłby wyglądać nieco inaczej. Wystarczyłby odpowiedni słownik, zestaw reguł oraz odrobina szczęścia, aby na domowym sprzęcie odnieść sukces.

Zgodnie z oszacowaniem badaczy, podjętych zostało ponad 1,16 miliarda prób przełamania zabezpieczeń przeciwko ~320 tysiącom systemów FortiGate. W efekcie przejętych zostało łącznie 73 932 unikalnych adresów URL firewalli w 194 krajach, co przekłada się na ~21,5 tysiąca unikalnych domen. Aby lepiej zobrazować skalę działań (jak zauważył ekspert Beaumont), liczba ta przekłada się na około 50% wszystkich urządzeń Fortinet wystawionych bezpośrednio do internetu.

Cyberprzestępcy nie poprzestali na samym odzyskaniu haseł. Ich celem było uzyskanie stałego przyczółka w infrastrukturze użytkownika na potrzeby przyszłych działań. Ustrukturyzowany charakter opublikowanej bazy danych, w których cele są posortowane według branż, lokalizacji i przychodów firmy sugeruje, że za operacją stoją tzw. Initial Access Brokers. Grupy tego typu oferują gotowy dostęp do danej infrastruktury na czarnym rynku za co otrzymują wynagrodzenie. 

Zgodnie z informacjami przekazanymi przez badaczy, potwierdzone incydenty wystąpiły m.in. na terenie USA, Tajwanu, Indii, Meksyku, Francji, Hiszpanii, Turcji. Dotknęły głównie przedsiębiorstwa z sektora IT, telekomunikacyjnego, finansowego, a także instytucje rządowe. Najbardziej niepokojący jest przypadek tureckiego kontrahenta NATO, z którego systemów wykradziono niejawne dokumenty.

Kluczowym elementem, który przyczynił się do powodzenia tej operacji, był przede wszystkim przestarzały mechanizm przechowywania poświadczeń. Algorytm SHA-256 pozwala na łatwe zrównoleglenie obliczeń, a co za tym idzie, atakujący byli w stanie sprawdzać kilkanaście GH/s (miliard hashy na sekundę). Dysponując odpowiednimi słownikami (zasilonymi hasłami z wycieków), odzyskanie haseł nie stanowiło większego wyzwania – stąd taka wysoka skuteczność ataku.

Fortinet wymienił sposób przechowywania haseł na początku 2025 r. przechodząc na znacznie bezpieczniejszą i trudniejszą do złamania funkcję PBKDF2. W ramach kontrastu, liczba hashy sprawdzanych w ciągu jednej sekundy spada w jego przypadku z miliardów do zaledwie kilkunastu lub kilkuset H/s, w zależności od użytej karty graficznej. 

Niemniej jednak, jeżeli w grę wchodzi malware wykradający poświadczenia bezpieczeństwa, postać i skomplikowanie haseł nie ma większego znaczenia. W takich scenariuszach jedynym skutecznym sposobem na ochronę systemów jest stosowanie uwierzytelniania wieloskładnikowego (MFA). 

Źródło: hudsonrock.com 

~_secmike