FortiBleed-kampanjen brukte en spesialutviklet sniffer for å stjele innloggingsopplysninger direkte fra kompromitterte FortiGate-enheter, ifølge ny forskning. Etterforskere opplyser at skadevaren gjorde det mulig for angriperne å fange opp brukernavn og passord mens de passerte gjennom de berørte systemene. På den måten kunne gruppen samle inn autentiseringsdata i stor skala.

Oppdagelsen gir et tydeligere bilde av hvordan angriperne bygget opp en database med tilgangsinformasjon knyttet til tusenvis av Fortinet-enheter verden over. I stedet for å basere seg på én enkelt angrepsmetode kombinerte gruppen flere teknikker for å utvide rekkevidden og opprettholde tilgangen til kompromitterte miljøer.

Forskere identifiserte spesialutviklet sniffer

Sikkerhetsforskere oppdaget at angriperne installerte et spesialisert verktøy for pakkesniffing på kompromitterte FortiGate-enheter. Etter installasjonen overvåket skadevaren nettverkstrafikken og fanget opp autentiseringsdata som passerte gjennom enheten.

Siden FortiGate-systemer ofte fungerer som grensepunkter i bedriftsnettverk, håndterer de store mengder innloggingstrafikk hver dag. Denne plasseringen ga angriperne mulighet til å samle inn legitimasjon fra legitime brukere uten å måtte kompromittere individuelle arbeidsstasjoner.

Det spesialutviklede verktøyet gjorde det mulig å samle inn nye innloggingsopplysninger kontinuerlig etter hvert som brukere autentiserte seg gjennom de berørte systemene.

Kampanjen rettet seg mot internett-eksponerte enheter

FortiBleed-kampanjen fokuserte på internett-tilgjengelige FortiGate-enheter som brukes til brannmurbeskyttelse og fjernaksess. Disse systemene fungerer ofte som kritiske inngangspunkter for ansatte, administratorer og konsulenter.

Forskerne mener at angriperne brukte kompromitterte systemer som innsamlingspunkter for stjålne innloggingsopplysninger. Når de først hadde etablert tilgang, hjalp snifferen dem med å samle inn ytterligere autentiseringsdata som kunne brukes til å utvide operasjonen.

Denne strategien gjorde det mulig for kampanjen å vokse over tid samtidig som angriperne reduserte behovet for mer støyende angrepsteknikker som kunne tiltrekke seg oppmerksomhet.

Stjålne opplysninger øker sikkerhetsrisikoen

Tilgang til Fortinet-legitimasjon kan gi angripere betydelige fordeler. Kompromitterte kontoer kan åpne tilgang til VPN-tjenester, administrative grensesnitt og andre kritiske nettverksressurser.

Sikkerhetsteam betrakter ofte nettverksenheter som pålitelig infrastruktur. Derfor kan angripere som får tak i gyldige innloggingsopplysninger potensielt omgå enkelte sikkerhetskontroller og bevege seg dypere inn i bedriftsmiljøer.

Forskerne advarer om at organisasjoner bør anta at eksponerte opplysninger kan bli brukt i senere angrep, selv om det ikke finnes umiddelbare tegn på ondsinnet aktivitet.

Angrepet viser verdien av nettverksenheter

FortiBleed-kampanjen viser hvorfor nettverkssikkerhetsenheter fortsatt er attraktive mål for cyberkriminelle. Disse systemene befinner seg på kritiske punkter i bedriftsnettverk og håndterer ofte autentiseringstrafikk for store brukergrupper.

I motsetning til skadevare som retter seg mot enkeltmaskiner, kan en kompromittert brannmur eller VPN-gateway gi innsyn i et langt større antall innloggingsopplysninger og nettverksaktiviteter. Det gjør vellykkede angrep mot slike systemer spesielt verdifulle for trusselaktører.

Funnene viser også at angripere fortsetter å utvikle spesialtilpassede verktøy som retter seg mot virksomheters sikkerhetsinfrastruktur.

Konklusjon

FortiBleed-kampanjen utviklet seg til en langt mer avansert operasjon enn vanlig tyveri av innloggingsopplysninger. Ved å bruke en spesialutviklet FortiGate-sniffer kunne angriperne fange opp autentiseringsdata direkte fra kompromitterte enheter og gradvis bygge opp en omfattende samling gyldige legitimasjonsopplysninger. Oppdagelsen viser hvordan nettverkssikkerhetsenheter har blitt høyt verdsatte mål og understreker behovet for å overvåke grenseenheter nøye for tegn på kompromittering.


0 responses to “FortiBleed-kampanje brukte spesialutviklet FortiGate-sniffer for å stjele legitimasjon”