Globalni sajber udar: Hakovane desetine hiljada bezbednosnih sistema širom sveta

Čini se da ova rasprostranjena kampanja hakovanja, koja je još uvek u toku i nazvana je FortiBleed, ne uključuje zloupotrebu neke nepoznate ranjivosti u ciljanim uređajima. Umesto toga, ona se zasniva na bazičnijem problemu: kompanije možda ne menjaju lozinke na zaštitnim zidovima (firewall), niti vode računa o tome da pristupni podaci koje koriste za osetljive sisteme izložene internetu već nisu poznati hakerima.

U ovoj kampanji, hakeri najpre koriste automatizovane alate kako bi skenirali internet u potrazi za izloženim Fortinet zaštitnim zidovima i VPN uređajima. Nakon toga, oni upadaju u uređaje zahvaljujući listama ranije poznatih lozinki. U tom trenutku, sajber-kriminalci mogu da ukradu još osetljivije podatke od kompanija koje su žrtve napada, napisale su u svojim izveštajima objavljenim ove nedelje kompanije za sajber-bezbednost Hudson Rock i SOCRadar.

"Kada se uređaj kompromituje, hakeri ga koriste kao prislušnu stanicu, prateći saobraćaj koji prolazi kroz njega i prikupljajući sve dodatne pristupne podatke koji tuda prolaze. Te sveže prikupljene lozinke se zatim vraćaju nazad u skener kako bi se kompromitovalo još više uređaja. Sistem sam sebe hrani", napisao je SOCRadar.

Portparolka kompanije Fortinet, Tifani Kurči, izjavila je za TechCrunch da je kompanija "upoznata sa izveštajima o kampanji treće strane za prikupljanje pristupnih podataka koja cilja Fortinet zaštitne zidove i VPN mrežne prolaze (gateways)". Iz Fortineta su saopštili da je, na osnovu analize kompanije, reč o "ponovnom deljenju podataka iz prethodnih incidenata, kao i o napadima grubom silom (bruteforcing) na pristupne podatke, te da to nije povezano sa bilo kojim nedavnim incidentom ili bezbednosnim upozorenjem".

Prema podacima Hudson Rock-a, među hakovanim kompanijama nalaze se: Accenture, Comcast, Foxconn, Lenovo, Oracle, Samsung, Siemens i PwC.

Portparol kompanije Lenovo potvrdio je prijem zahteva za komentar od strane TechCrunch-a, ali nije poslao odgovor. Nijedna od ostalih kompanija nije odgovorila na zahtev za komentar.

Prema navodima i Hudson Rock-a i SOCRadar-a, zemlje sa najviše pogođenih uređaja su Indija, Sjedinjene Američke Države, Tajvan i Meksiko. Ipak, obe kompanije ističu da žrtava ima širom sveta. Što se tiče industrija, najviše su pogođene IT usluge, građevinski materijali i telekomunikacije, navodi Hudson Rock. Među žrtvama se nalaze i vladine agencije, piše SOCRadar. Obe bezbednosne kompanije su navele da grupa koja stoji iza ove kampanje hakovanja najverovatnije govori ruski jezik.

Izveštaji kompanija Hudson Rock i SOCRadar zasnovani su na otkriću liste pristupnih podataka za Fortinet uređaje i povezane kompanije. O ovoj kampanji hakovanja tokom vikenda je prvi izvestio istraživač bezbednosti Bob Djačenko. Nezavisni istraživač sajber-bezbednosti Kevin Bomon naveo je u blog objavi u sredu da je analizirao podatke i potvrdio da su oni "legitimni".

Tokom proteklih godina, nekoliko kampanja hakovanja ciljalo je i kompromitovalo Fortinet uređaje, obično zloupotrebljavajući ranjivosti u tim sistemima. Nasuprot tome, u ovom slučaju hakeri se oslanjaju na procurele lozinke, što predstavlja jednostavniji i manje sofisticiran napad.