Fortibleed-angrepet har angivelig eksponert privilegerte innloggingsopplysninger som tilhører Storbritannias utenriksdepartement, Foreign, Commonwealth and Development Office (FCDO). Sikkerhetsforskere opplyser at de stjålne kontoene nå tilbys for salg på markedsplasser på darknet. Den lekkede databasen inneholder også innloggingsopplysninger knyttet til lokale myndigheter, NHS-organisasjoner og selskaper innen kritisk infrastruktur.

Sikkerhetseksperter advarer om at de eksponerte kontoene kan bli attraktive mål for løsepengegrupper og andre nettkriminelle.

Fortibleed-angrepet samler inn gyldige Fortinet-legitimasjoner

Fortibleed-angrepet retter seg mot internettilkoblede Fortinet-brannmurer og VPN-gatewayer.

Forskerne sier at angriperne ikke utnytter en nyoppdaget sårbarhet. I stedet gjenbruker de brukernavn og passord som har lekket i tidligere datainnbrudd. Deretter tester de legitimasjonen automatisk mot Fortinet-systemer for å finne kontoer som fortsatt fungerer.

Kampanjen skal ha samlet inn mer enn 30 000 verifiserte Fortinet-brukernavn og passord.

Kontoene tilhører organisasjoner i 194 land.

Britiske myndighetskontoer finnes i den lekkede databasen

Ifølge The Telegraph inneholder den lekkede databasen privilegerte innloggingsopplysninger til Fortinet-brannmurer og VPN-løsninger som er knyttet til det britiske utenriksdepartementet.

Dette er ikke vanlige e-postpassord. Dersom kontoene fortsatt er aktive, kan de gi direkte tilgang til beskyttede myndighetsnettverk.

Forskerne identifiserte også kontoer til britiske ambassader i Thailand og Mauritius.

I tillegg ble det funnet legitimasjon knyttet til kommunene Derbyshire og Waltham Forest.

Funnet har skapt bekymring for at flere britiske offentlige virksomheter også kan være rammet.

Trusselaktør tilbyr tilgang for opptil 60 000 dollar

En trusselaktør som bruker navnet SantaAd skal annonsere de stjålne innloggingsopplysningene på markedsplasser på darknet.

Noen av tilgangspakkene tilbys for opptil 60 000 amerikanske dollar, tilsvarende rundt 44 000 britiske pund.

Sikkerhetsforskere advarer om at løsepengegrupper ofte kjøper denne typen tilgang.

Gyldige innloggingsopplysninger gjør det mulig for angripere å omgå mange av sikkerhetsbarrierene som normalt stopper inntrengere i en tidlig fase.

NHS og kritisk infrastruktur er også rammet

Den lekkede databasen omfatter langt flere enn offentlige myndigheter.

Forskerne fant innloggingsopplysninger knyttet til NHS, energiselskaper, apotek og legemiddelleverandører.

Det brede omfanget av berørte organisasjoner har økt bekymringen for hvilke konsekvenser Fortibleed-angrepet kan få.

Kompromitterte kontoer innen kritiske sektorer kan gi nye muligheter for fremtidige cyberangrep.

Fortinet: Ingen ny sårbarhet er utnyttet

Fortinet opplyser at kampanjen ikke bygger på en nyoppdaget sårbarhet.

I stedet gjenbruker angriperne legitimasjon som har lekket i tidligere hendelser. Automatiserte verktøy tester deretter opplysningene mot internettilkoblede Fortinet-enheter.

Systemer uten flerfaktorautentisering er spesielt utsatte.

Et tidligere stjålet passord kan fortsatt gi direkte tilgang dersom ekstra sikkerhetstiltak mangler.

Britiske cybersikkerhetsmyndigheter kommer med nye råd

Forrige måned publiserte Storbritannias National Cyber Security Centre nye anbefalinger til organisasjoner som bruker Fortinet-brannmurer og VPN-løsninger.

Myndigheten oppfordrer virksomheter til å gjennomgå autentiseringslogger og undersøke tegn på uautorisert tilgang.

Den anbefaler også å isolere berørte enheter ved behov.

I tillegg bør eksponerte innloggingsopplysninger endres, og flerfaktorautentisering aktiveres der det er mulig.

Sikkerhetsforskere oppfordrer til forsiktighet

Sikkerhetsforskeren Volodymyr «Bob» Diachenko, som først avdekket kampanjen, advarer om at de stjålne innloggingsopplysningene kan gi tilgang til sentrale nettverk i det britiske utenriksdepartementet.

Samtidig har etterforskerne ikke knyttet operasjonen direkte til den russiske staten.

Rapporter omtaler riktignok russiskspråklig kode i angripernes verktøy, men det finnes ingen bekreftet attribusjon.

Flere sikkerhetsforskere mener dessuten at de kriminelle kan overdrive omfanget av innbruddet.

Dray Agha, Senior Manager of Security Operations hos Huntress, beskriver Fortibleed-angrepet som en reell sikkerhetstrussel. Samtidig mener han at angriperne sannsynligvis overdriver hvor dypt de faktisk har trengt inn i de berørte systemene.

Ifølge Agha er det vanlig at nettkriminelle overdriver vellykkede angrep for å styrke sitt omdømme og øke markedsverdien på de stjålne innloggingsopplysningene.


0 responses to “Fortibleed-angrep eksponerer innlogginger til det britiske utenriksdepartementet for salg”