Fortibleed-angrebet har angiveligt afsløret privilegerede loginoplysninger, der tilhører Storbritanniens Foreign, Commonwealth and Development Office (FCDO). Sikkerhedsforskere oplyser, at de stjålne konti nu udbydes til salg på markedspladser på darknet. Den lækkede database indeholder også loginoplysninger knyttet til lokale myndigheder, NHS-organisationer og virksomheder inden for kritisk infrastruktur.

Sikkerhedseksperter advarer om, at de eksponerede konti kan blive attraktive mål for ransomwaregrupper og andre cyberkriminelle.

Fortibleed-angrebet indsamler gyldige Fortinet-loginoplysninger

Fortibleed-angrebet retter sig mod internetforbundne Fortinet-firewalls og VPN-gateways.

Forskerne oplyser, at angriberne ikke udnytter en nyopdaget sårbarhed. I stedet genbruger de brugernavne og adgangskoder, som er lækket ved tidligere databrud. Derefter tester de automatisk legitimationsoplysningerne mod Fortinet-systemer for at finde konti, der stadig virker.

Kampagnen skal have indsamlet mere end 30.000 verificerede Fortinet-brugernavne og adgangskoder.

Kontiene tilhører organisationer i 194 lande.

Britiske myndighedskonti findes i den lækkede database

Ifølge The Telegraph indeholder den lækkede database privilegerede loginoplysninger til Fortinet-firewalls og VPN-løsninger, som er knyttet til det britiske udenrigsministerium.

Der er ikke tale om almindelige e-mailadgangskoder. Hvis kontiene stadig er aktive, kan de give direkte adgang til beskyttede myndighedssystemer.

Forskerne identificerede også konti, der tilhører britiske ambassader i Thailand og Mauritius.

Desuden fandt de loginoplysninger til kommunerne Derbyshire og Waltham Forest.

Fundet har skabt bekymring for, at flere britiske myndigheder også kan være berørt.

Trusselsaktør tilbyder adgang for op til 60.000 dollar

En trusselsaktør, der bruger navnet SantaAd, annoncerer angiveligt de stjålne loginoplysninger på markedspladser på darknet.

Nogle adgangspakker udbydes for op til 60.000 amerikanske dollar, svarende til omkring 44.000 britiske pund.

Sikkerhedsforskere advarer om, at ransomwaregrupper ofte køber denne type adgang.

Gyldige loginoplysninger gør det muligt for angribere at omgå mange af de sikkerhedsbarrierer, som normalt stopper indtrængere i den første fase af et angreb.

NHS og kritisk infrastruktur er også ramt

Den lækkede database omfatter langt mere end offentlige myndigheder.

Forskerne fandt loginoplysninger knyttet til NHS, energiselskaber, apoteker og leverandører af lægemidler.

Det brede omfang af de berørte organisationer har øget bekymringen for de mulige konsekvenser af Fortibleed-angrebet.

Kompromitterede konti i kritiske sektorer kan skabe nye muligheder for fremtidige cyberangreb.

Fortinet: Ingen ny sårbarhed er blevet udnyttet

Fortinet oplyser, at kampagnen ikke bygger på en nyopdaget sårbarhed.

I stedet genbruger angriberne legitimationsoplysninger, der er lækket ved tidligere hændelser. Automatiserede værktøjer tester derefter oplysningerne mod internetforbundne Fortinet-enheder.

Systemer uden multifaktorgodkendelse er særligt udsatte.

En tidligere stjålet adgangskode kan fortsat give direkte adgang, hvis yderligere sikkerhedsforanstaltninger mangler.

Britiske cybersikkerhedsmyndigheder udsender nye anbefalinger

Sidste måned udsendte Storbritanniens National Cyber Security Centre nye sikkerhedsanbefalinger til organisationer, der anvender Fortinet-firewalls og VPN-løsninger.

Myndigheden opfordrer organisationerne til at gennemgå autentificeringslogfiler og undersøge tegn på uautoriseret adgang.

Den anbefaler også at isolere berørte enheder, hvis det er nødvendigt.

Derudover bør eksponerede loginoplysninger ændres, og multifaktorgodkendelse bør aktiveres, hvor det er muligt.

Sikkerhedsforskere opfordrer til forsigtighed

Sikkerhedsforskeren Volodymyr “Bob” Diachenko, som først afslørede kampagnen, advarer om, at de stjålne loginoplysninger kan give adgang til centrale netværk i det britiske udenrigsministerium.

Samtidig har efterforskerne ikke knyttet operationen direkte til den russiske stat.

Rapporter omtaler ganske vist russisksproget kode i angribernes værktøjer, men der findes ingen bekræftet tilskrivning.

Flere sikkerhedsforskere mener desuden, at de kriminelle kan overdrive omfanget af angrebet.

Dray Agha, Senior Manager of Security Operations hos Huntress, beskriver Fortibleed-angrebet som en reel sikkerhedstrussel. Samtidig vurderer han, at angriberne sandsynligvis overdriver, hvor dybt de faktisk er trængt ind i de berørte systemer.

Ifølge Agha overdriver cyberkriminelle ofte vellykkede angreb for at styrke deres omdømme og øge markedsværdien af de stjålne loginoplysninger.


0 svar til “Fortibleed-angreb afslører loginoplysninger til det britiske udenrigsministerium sat til salg”