FortiBleed-kampanjen använde en specialutvecklad sniffer för att stjäla inloggningsuppgifter direkt från komprometterade FortiGate-enheter, enligt ny forskning. Utredare uppger att skadlig kod gjorde det möjligt för angriparna att fånga upp användarnamn och lösenord när de passerade genom de drabbade systemen. På så sätt kunde gruppen samla in autentiseringsuppgifter i stor skala.
Upptäckten ger en tydligare bild av hur angriparna byggde upp en databas med åtkomstuppgifter kopplade till tusentals Fortinet-enheter världen över. I stället för att förlita sig på en enda metod kombinerade gruppen flera tekniker för att utöka sin räckvidd och behålla åtkomsten till komprometterade miljöer.
Forskare identifierade specialutvecklad sniffer
Säkerhetsforskare upptäckte att angriparna installerade ett särskilt verktyg för paketavlyssning på komprometterade FortiGate-enheter. Efter installationen övervakade den skadliga koden nätverkstrafiken och fångade upp autentiseringsdata som passerade genom enheten.
Eftersom FortiGate-system ofta fungerar som gränspunkter i företagsnätverk hanterar de stora mängder inloggningstrafik varje dag. Den positionen gav angriparna möjlighet att samla in inloggningsuppgifter från legitima användare utan att behöva kompromettera enskilda arbetsstationer.
Det specialutvecklade verktyget gjorde det möjligt att kontinuerligt samla in nya autentiseringsuppgifter när användare loggade in via de drabbade systemen.
Kampanjen riktade in sig på internetanslutna enheter
FortiBleed-kampanjen fokuserade på internetexponerade FortiGate-enheter som används för brandväggsskydd och fjärråtkomsttjänster. Dessa system fungerar ofta som kritiska ingångspunkter för anställda, administratörer och konsulter.
Forskarna bedömer att angriparna använde komprometterade enheter som insamlingspunkter för stulna inloggningsuppgifter. När de väl etablerat åtkomst hjälpte sniffersystemet dem att samla in ytterligare autentiseringsdata som kunde användas för att utöka operationen.
Strategin gjorde det möjligt för kampanjen att växa över tid samtidigt som angriparna minskade behovet av mer högljudda attackmetoder som kunde väcka uppmärksamhet.
Stulna uppgifter ökar säkerhetsriskerna
Tillgång till Fortinet-uppgifter kan ge angripare betydande fördelar. Komprometterade konton kan öppna vägen till VPN-tjänster, administrativa gränssnitt och andra kritiska nätverksresurser.
Säkerhetsteam betraktar ofta nätverksutrustning som betrodd infrastruktur. Därför kan angripare som får tag på giltiga inloggningsuppgifter potentiellt kringgå vissa säkerhetskontroller och röra sig djupare in i företagsmiljöer.
Forskarna varnar för att organisationer bör utgå från att exponerade uppgifter kan användas i framtida attacker, även om det inte finns några omedelbara tecken på skadlig aktivitet.
Attacken visar värdet av nätverksutrustning
FortiBleed-kampanjen visar varför nätverkssäkerhetsenheter fortsätter att vara attraktiva mål för cyberkriminella. Dessa system befinner sig vid kritiska punkter i företagsnätverk och hanterar ofta autentiseringstrafik för stora användargrupper.
Till skillnad från skadlig kod som riktar sig mot enskilda datorer kan en komprometterad brandvägg eller VPN-gateway ge insyn i betydligt fler inloggningsuppgifter och nätverksaktiviteter. Det gör framgångsrika attacker mot sådana system särskilt värdefulla för hotaktörer.
Resultaten visar också att angripare fortsätter att utveckla specialanpassade verktyg som riktar sig mot företagens säkerhetsinfrastruktur.
Slutsats
FortiBleed-kampanjen utvecklades till en betydligt mer avancerad operation än vanlig stöld av inloggningsuppgifter. Genom att använda en specialutvecklad FortiGate-sniffer kunde angriparna fånga upp autentiseringsdata direkt från komprometterade enheter och successivt bygga upp en omfattande samling giltiga inloggningsuppgifter. Upptäckten visar hur nätverkssäkerhetsenheter har blivit högvärdiga mål och understryker vikten av att noggrant övervaka gränssystem för tecken på intrång.


0 svar till ”FortiBleed-kampanj använde specialutvecklad FortiGate-sniffer för att stjäla inloggningsuppgifter”