Die FortiBleed-Kampagne nutzte einen speziell entwickelten Sniffer, um Zugangsdaten direkt von kompromittierten FortiGate-Geräten zu stehlen, wie neue Untersuchungen zeigen. Ermittler berichten, dass die Schadsoftware Benutzernamen und Passwörter abfangen konnte, während diese die betroffenen Systeme durchliefen. Dadurch war die Gruppe in der Lage, Authentifizierungsdaten in großem Umfang zu sammeln.

Die Entdeckung liefert neue Erkenntnisse darüber, wie die Angreifer eine Datenbank mit Zugangsinformationen zu Tausenden von Fortinet-Geräten weltweit aufbauten. Anstatt sich auf eine einzige Angriffsmethode zu verlassen, kombinierte die Gruppe mehrere Techniken, um ihre Reichweite zu vergrößern und den Zugriff auf kompromittierte Umgebungen aufrechtzuerhalten.

Forscher identifizierten speziell entwickelten Sniffer

Sicherheitsforscher stellten fest, dass die Angreifer ein spezialisiertes Paket-Sniffing-Werkzeug auf kompromittierten FortiGate-Appliances installierten. Nach der Installation überwachte die Schadsoftware den Netzwerkverkehr und fing Authentifizierungsdaten ab, die das Gerät passierten.

Da FortiGate-Systeme häufig als zentrale Schnittstellen in Unternehmensnetzwerken dienen, verarbeiten sie täglich große Mengen an Anmeldedaten. Diese Position verschaffte den Angreifern die Möglichkeit, Zugangsdaten legitimer Nutzer zu sammeln, ohne einzelne Arbeitsstationen kompromittieren zu müssen.

Das speziell entwickelte Werkzeug ermöglichte es der Operation, kontinuierlich neue Zugangsdaten zu erfassen, sobald sich Nutzer über die betroffenen Systeme authentifizierten.

Kampagne zielte auf internetexponierte Geräte ab

Die FortiBleed-Kampagne konzentrierte sich auf öffentlich erreichbare FortiGate-Geräte, die für Firewall-Schutz und Fernzugriffsdienste eingesetzt werden. Diese Systeme fungieren häufig als kritische Zugangspunkte für Mitarbeiter, Administratoren und externe Dienstleister.

Forscher gehen davon aus, dass die Angreifer kompromittierte Systeme als Sammelpunkte für gestohlene Zugangsdaten nutzten. Nachdem sie sich Zugang verschafft hatten, half der Sniffer dabei, weitere Anmeldedaten zu erfassen, die zur Ausweitung der Operation verwendet werden konnten.

Dieser Ansatz ermöglichte es der Kampagne, im Laufe der Zeit zu wachsen und gleichzeitig den Einsatz auffälliger Angriffstechniken zu reduzieren, die Aufmerksamkeit hätten erregen können.

Gestohlene Zugangsdaten erhöhen Sicherheitsrisiken

Der Zugriff auf Fortinet-Zugangsdaten verschafft Angreifern erhebliche Vorteile. Kompromittierte Konten können den Zugang zu VPN-Diensten, Administrationsoberflächen und anderen kritischen Netzwerkressourcen ermöglichen.

Sicherheitsteams betrachten Perimeter-Geräte häufig als vertrauenswürdige Infrastruktur. Deshalb können Angreifer mit gültigen Zugangsdaten unter Umständen Sicherheitskontrollen umgehen und sich tiefer in Unternehmensnetzwerke bewegen.

Forscher warnen, dass Organisationen davon ausgehen sollten, dass offengelegte Zugangsdaten für spätere Angriffe genutzt werden könnten, selbst wenn zunächst keine Anzeichen bösartiger Aktivitäten erkennbar sind.

Angriff verdeutlicht den Wert von Netzwerkgeräten

Die FortiBleed-Kampagne zeigt, warum Netzwerksicherheitsgeräte weiterhin attraktive Ziele für Cyberkriminelle sind. Diese Systeme befinden sich an zentralen Punkten von Unternehmensnetzwerken und verarbeiten häufig Authentifizierungsdaten zahlreicher Nutzer.

Im Gegensatz zu Schadsoftware, die einzelne Computer angreift, kann eine kompromittierte Firewall oder ein kompromittiertes VPN-Gateway Einblicke in eine deutlich größere Menge an Zugangsdaten und Netzwerkaktivitäten ermöglichen. Das macht erfolgreiche Angriffe auf solche Geräte besonders wertvoll für Bedrohungsakteure.

Die Ergebnisse zeigen zudem, dass Angreifer weiterhin maßgeschneiderte Werkzeuge entwickeln, die gezielt auf die Sicherheitsinfrastruktur von Unternehmen ausgerichtet sind.

Fazit

Die FortiBleed-Kampagne entwickelte sich zu einer deutlich komplexeren Operation als einem einfachen Diebstahl von Zugangsdaten. Durch den Einsatz eines speziell entwickelten FortiGate-Sniffers konnten die Angreifer Authentifizierungsdaten direkt von kompromittierten Geräten abfangen und ihre Sammlung gültiger Zugangsdaten kontinuierlich erweitern. Die Entdeckung verdeutlicht die zunehmende Bedeutung von Netzwerksicherheitsgeräten als hochwertige Ziele und unterstreicht die Notwendigkeit, Perimeter-Systeme sorgfältig auf Anzeichen einer Kompromittierung zu überwachen.


0 Kommentare zu „FortiBleed-Kampagne nutzte angepassten FortiGate-Sniffer zum Diebstahl von Zugangsdaten“