Der Fortibleed-Angriff hat Berichten zufolge privilegierte Zugangsdaten des britischen Foreign, Commonwealth and Development Office (FCDO) offengelegt. Sicherheitsforscher berichten, dass die gestohlenen Konten inzwischen auf Darknet-Marktplätzen zum Verkauf angeboten werden. Der geleakte Datensatz enthält außerdem Zugangsdaten von Kommunalverwaltungen, NHS-Einrichtungen und Unternehmen aus kritischen Infrastruktursektoren.
Sicherheitsexperten warnen, dass die offengelegten Konten für Ransomware-Gruppen und andere Cyberkriminelle zu attraktiven Angriffszielen werden könnten.
Fortibleed-Angriff sammelt gültige Fortinet-Zugangsdaten
Der Fortibleed-Angriff richtet sich gegen mit dem Internet verbundene Fortinet-Firewalls und VPN-Gateways.
Nach Angaben der Forscher nutzen die Angreifer keine neu entdeckte Sicherheitslücke aus. Stattdessen verwenden sie Benutzernamen und Passwörter wieder, die bei früheren Datenlecks offengelegt wurden. Anschließend testen sie die Zugangsdaten automatisiert gegen Fortinet-Systeme, um Konten zu identifizieren, die noch immer funktionieren.
Die Kampagne soll mehr als 30.000 verifizierte Fortinet-Benutzernamen und Passwörter gesammelt haben.
Die Konten gehören Organisationen in 194 Ländern.
Datensatz enthält Konten britischer Behörden
Laut The Telegraph enthält der geleakte Datensatz privilegierte Zugangsdaten für Fortinet-Firewalls und VPN-Systeme des britischen Außenministeriums.
Dabei handelt es sich nicht um gewöhnliche E-Mail-Passwörter. Sollten die Konten noch aktiv sein, könnten sie direkten Zugriff auf geschützte Regierungsnetzwerke ermöglichen.
Die Forscher identifizierten außerdem Konten britischer Botschaften in Thailand und Mauritius.
Zusätzlich fanden sie Zugangsdaten der Kommunalverwaltungen von Derbyshire und Waltham Forest.
Der Fund hat die Sorge verstärkt, dass weitere britische Behörden ebenfalls betroffen sein könnten.
Bedrohungsakteur bietet Zugänge für bis zu 60.000 US-Dollar an
Ein Bedrohungsakteur mit dem Alias SantaAd bietet die gestohlenen Zugangsdaten Berichten zufolge auf Darknet-Marktplätzen an.
Einige Zugangspakete werden für bis zu 60.000 US-Dollar beziehungsweise rund 44.000 britische Pfund angeboten.
Sicherheitsforscher warnen, dass Ransomware-Gruppen diese Art von Zugang regelmäßig kaufen.
Mit gültigen Zugangsdaten können Angreifer viele Sicherheitsbarrieren umgehen, die Eindringlinge normalerweise in einer frühen Phase eines Angriffs stoppen.
Auch NHS und kritische Infrastruktur betroffen
Der geleakte Datensatz umfasst weit mehr als nur staatliche Einrichtungen.
Die Forscher fanden Zugangsdaten von NHS-Organisationen, Energieunternehmen, Apotheken und Arzneimittellieferanten.
Die große Zahl betroffener Organisationen hat die Sorge über die möglichen Folgen des Fortibleed-Angriffs verstärkt.
Kompromittierte Konten in kritischen Sektoren könnten neue Möglichkeiten für künftige Cyberangriffe schaffen.
Fortinet: Keine neue Sicherheitslücke ausgenutzt
Fortinet erklärt, dass die Kampagne keine neu entdeckte Schwachstelle ausnutzt.
Stattdessen verwenden die Angreifer Zugangsdaten wieder, die bei früheren Sicherheitsvorfällen gestohlen wurden. Anschließend testen automatisierte Werkzeuge diese Daten gegen mit dem Internet verbundene Fortinet-Geräte.
Besonders gefährdet sind Systeme ohne Multi-Faktor-Authentifizierung.
Ein bereits gestohlenes Passwort kann weiterhin direkten Zugriff ermöglichen, wenn zusätzliche Schutzmaßnahmen fehlen.
Britische Cybersicherheitsbehörde veröffentlicht Sicherheitsempfehlungen
Im vergangenen Monat veröffentlichte das britische National Cyber Security Centre neue Empfehlungen für Organisationen, die Fortinet-Firewalls und VPN-Lösungen einsetzen.
Die Behörde fordert Unternehmen und Behörden auf, Authentifizierungsprotokolle zu überprüfen und nach Anzeichen unbefugter Zugriffe zu suchen.
Außerdem empfiehlt sie, betroffene Geräte bei Bedarf vom Netzwerk zu isolieren.
Zusätzlich sollten offengelegte Zugangsdaten umgehend geändert und Multi-Faktor-Authentifizierung überall dort aktiviert werden, wo dies möglich ist.
Sicherheitsforscher mahnen zur Vorsicht
Der Sicherheitsforscher Volodymyr „Bob“ Diachenko, der die Kampagne zuerst aufdeckte, warnt, dass die gestohlenen Zugangsdaten Zugriff auf zentrale Netzwerke des britischen Außenministeriums ermöglichen könnten.
Bislang konnten die Ermittler die Operation jedoch nicht direkt dem russischen Staat zuordnen.
Zwar berichten einige Quellen von russischsprachigem Code in den Werkzeugen der Angreifer, eine bestätigte Zuschreibung gibt es bislang jedoch nicht.
Andere Sicherheitsforscher gehen zudem davon aus, dass die Kriminellen das Ausmaß des Angriffs übertreiben.
Dray Agha, Senior Manager of Security Operations bei Huntress, bezeichnet den Fortibleed-Angriff als ernstzunehmende Sicherheitsbedrohung. Gleichzeitig hält er es für wahrscheinlich, dass die Angreifer das tatsächliche Ausmaß ihres Zugriffs überhöhen.
Nach Einschätzung von Agha übertreiben Cyberkriminelle erfolgreiche Angriffe häufig, um ihren Ruf zu stärken und den Marktwert der gestohlenen Zugangsdaten zu erhöhen.


0 Kommentare zu „Fortibleed-Angriff legt zum Verkauf angebotene Zugangsdaten des britischen Außenministeriums offen“