FortiBleed-kampagnen brugte en specialudviklet sniffer til at stjæle loginoplysninger direkte fra kompromitterede FortiGate-enheder, ifølge ny forskning. Efterforskere oplyser, at malwaren gjorde det muligt for angriberne at opsnappe brugernavne og adgangskoder, mens de passerede gennem de berørte systemer. På den måde kunne gruppen indsamle autentificeringsoplysninger i stor skala.

Opdagelsen giver et klarere billede af, hvordan angriberne opbyggede en database med adgangsoplysninger knyttet til tusindvis af Fortinet-enheder verden over. I stedet for at stole på én enkelt angrebsmetode kombinerede gruppen flere teknikker for at udvide rækkevidden og bevare adgangen til kompromitterede miljøer.

Forskere identificerede specialudviklet sniffer

Sikkerhedsforskere opdagede, at angriberne installerede et specialiseret værktøj til pakkesniffing på kompromitterede FortiGate-enheder. Efter installationen overvågede malwaren netværkstrafikken og opsnappede autentificeringsdata, der passerede gennem enheden.

Da FortiGate-systemer ofte fungerer som grænsepunkter i virksomhedsnetværk, håndterer de store mængder logintrafik hver dag. Denne placering gav angriberne mulighed for at indsamle loginoplysninger fra legitime brugere uden at kompromittere individuelle arbejdsstationer.

Det specialudviklede værktøj gjorde det muligt løbende at indsamle nye legitimationsoplysninger, efterhånden som brugere loggede ind via de berørte systemer.

Kampagnen rettede sig mod interneteksponerede enheder

FortiBleed-kampagnen fokuserede på internettilgængelige FortiGate-enheder, som bruges til firewallbeskyttelse og fjernadgangstjenester. Disse systemer fungerer ofte som kritiske adgangspunkter for medarbejdere, administratorer og konsulenter.

Forskerne vurderer, at angriberne brugte kompromitterede systemer som indsamlingspunkter for stjålne loginoplysninger. Når de først havde etableret adgang, hjalp snifferen dem med at indsamle yderligere autentificeringsdata, som kunne bruges til at udvide operationen.

Denne strategi gjorde det muligt for kampagnen at vokse over tid, samtidig med at angriberne reducerede behovet for mere støjende angrebsteknikker, der kunne tiltrække opmærksomhed.

Stjålne oplysninger øger sikkerhedsrisikoen

Adgang til Fortinet-legitimationsoplysninger kan give angribere betydelige fordele. Kompromitterede konti kan åbne adgang til VPN-tjenester, administrative grænseflader og andre kritiske netværksressourcer.

Sikkerhedsteams betragter ofte netværksenheder som betroet infrastruktur. Derfor kan angribere med gyldige loginoplysninger potentielt omgå visse sikkerhedskontroller og bevæge sig dybere ind i virksomhedsmiljøer.

Forskerne advarer om, at organisationer bør antage, at eksponerede oplysninger kan blive brugt i efterfølgende angreb, selv hvis der ikke er umiddelbare tegn på ondsindet aktivitet.

Angrebet viser værdien af netværksudstyr

FortiBleed-kampagnen viser, hvorfor netværkssikkerhedsenheder fortsat er attraktive mål for cyberkriminelle. Disse systemer befinder sig på kritiske punkter i virksomhedsnetværk og håndterer ofte autentificeringstrafik for store brugergrupper.

I modsætning til malware, der angriber individuelle computere, kan en kompromitteret firewall eller VPN-gateway give indsigt i langt flere loginoplysninger og netværksaktiviteter. Det gør succesfulde angreb mod sådanne systemer særligt værdifulde for trusselsaktører.

Resultaterne viser også, at angribere fortsætter med at udvikle specialtilpassede værktøjer, der er designet specifikt til virksomheders sikkerhedsinfrastruktur.

Konklusion

FortiBleed-kampagnen udviklede sig til en langt mere avanceret operation end almindeligt tyveri af loginoplysninger. Ved at anvende en specialudviklet FortiGate-sniffer kunne angriberne opsnappe autentificeringsdata direkte fra kompromitterede enheder og gradvist opbygge en omfattende samling af gyldige legitimationsoplysninger. Opdagelsen viser, hvordan netværkssikkerhedsenheder er blevet højværdimål, og understreger behovet for nøje overvågning af grænsesystemer for tegn på kompromittering.


0 svar til “FortiBleed-kampagne brugte specialudviklet FortiGate-sniffer til at stjæle loginoplysninger”