Fortibleed-attacken har enligt uppgifter exponerat privilegierade inloggningsuppgifter som tillhör Storbritanniens utrikesdepartement, Foreign, Commonwealth and Development Office (FCDO). Säkerhetsforskare uppger att de stulna kontona nu erbjuds till försäljning på marknadsplatser på darknet. Den läckta databasen innehåller även inloggningsuppgifter kopplade till kommuner, NHS-organisationer och företag inom samhällsviktiga sektorer.

Säkerhetsexperter varnar för att de exponerade kontona kan bli attraktiva mål för ransomwaregrupper och andra cyberkriminella.

Fortibleed-attacken samlar in giltiga Fortinet-inloggningar

Fortibleed-attacken riktar sig mot internetanslutna Fortinet-brandväggar och VPN-gateways.

Forskarna säger att angriparna inte utnyttjar någon nyupptäckt sårbarhet. I stället återanvänder de användarnamn och lösenord som läckt i tidigare dataintrång. Därefter testar de automatiskt uppgifterna mot Fortinet-system för att hitta konton som fortfarande fungerar.

Kampanjen har enligt uppgifter samlat in mer än 30 000 verifierade användarnamn och lösenord till Fortinet-konton.

De berörda kontona tillhör organisationer i 194 länder.

Brittiska myndighetskonton finns i den läckta databasen

Enligt The Telegraph innehåller den läckta databasen privilegierade inloggningsuppgifter till Fortinets brandväggar och VPN-lösningar som är kopplade till det brittiska utrikesdepartementet.

Det handlar inte om vanliga e-postlösenord. Om kontona fortfarande är aktiva kan de ge direkt åtkomst till skyddade myndighetssystem.

Forskarna identifierade även konton som tillhör brittiska ambassader i Thailand och Mauritius.

Dessutom hittades inloggningsuppgifter kopplade till kommunerna Derbyshire och Waltham Forest.

Upptäckten har väckt oro för att fler brittiska myndigheter också kan ha drabbats.

Hotaktör erbjuder åtkomst för upp till 60 000 dollar

En hotaktör som använder namnet SantaAd uppges annonsera de stulna inloggningsuppgifterna på marknadsplatser på darknet.

Vissa åtkomstpaket erbjuds för upp till 60 000 dollar, motsvarande cirka 44 000 brittiska pund.

Säkerhetsforskare varnar för att ransomwaregrupper ofta köper den här typen av åtkomst.

Med giltiga inloggningsuppgifter kan angripare kringgå många av de skydd som normalt stoppar intrång i ett tidigt skede.

NHS och samhällsviktig infrastruktur påverkas också

Den läckta databasen omfattar betydligt fler organisationer än myndigheter.

Forskarna har identifierat inloggningsuppgifter kopplade till NHS, energibolag, apotek och läkemedelsleverantörer.

Det breda urvalet av drabbade organisationer har ökat oron för vilka konsekvenser Fortibleed-attacken kan få.

Komprometterade konton inom samhällsviktiga verksamheter kan skapa nya möjligheter för framtida cyberattacker.

Fortinet: Ingen ny sårbarhet har utnyttjats

Fortinet uppger att kampanjen inte bygger på någon nyupptäckt sårbarhet.

I stället återanvänder angriparna inloggningsuppgifter som läckt vid tidigare incidenter. Därefter testar automatiserade verktyg uppgifterna mot internetanslutna Fortinet-enheter.

System som saknar flerfaktorsautentisering är särskilt utsatta.

Ett tidigare stulet lösenord kan fortfarande ge direkt åtkomst om ytterligare säkerhetsskydd saknas.

Brittiska cybersäkerhetsmyndigheten utfärdar nya rekommendationer

Förra månaden publicerade Storbritanniens National Cyber Security Centre nya säkerhetsråd till organisationer som använder Fortinets brandväggar och VPN-lösningar.

Myndigheten uppmanar verksamheter att granska autentiseringsloggar och undersöka tecken på obehörig åtkomst.

Den rekommenderar också att drabbade enheter isoleras vid behov.

Dessutom bör exponerade inloggningsuppgifter bytas ut och flerfaktorsautentisering aktiveras där det är möjligt.

Säkerhetsforskare uppmanar till försiktighet

Säkerhetsforskaren Volodymyr ”Bob” Diachenko, som först upptäckte kampanjen, varnar för att de stulna inloggningsuppgifterna kan ge åtkomst till centrala nätverk inom det brittiska utrikesdepartementet.

Samtidigt har utredarna inte kunnat koppla operationen direkt till den ryska staten.

Rapporter nämner visserligen ryskspråkig kod i angriparnas verktyg, men någon bekräftad koppling finns inte.

Flera säkerhetsforskare anser dessutom att de kriminella kan överdriva omfattningen av intrånget.

Dray Agha, Senior Manager of Security Operations på Huntress, beskriver Fortibleed-attacken som ett verkligt säkerhetshot. Samtidigt bedömer han att angriparna sannolikt överdriver hur långt de faktiskt har tagit sig in i de drabbade systemen.

Enligt Agha är det vanligt att cyberkriminella förstorar sina framgångar för att stärka sitt rykte och höja värdet på de stulna inloggningsuppgifterna.


0 svar till ”Fortibleed-attack exponerar inloggningar till brittiska utrikesdepartementet till försäljning”