В результате масштабной утечки данных были раскрыты учетные данные тысяч конфиденциальных сетей.

В число пострадавших входят Oracle, Lenovo, FedEx, подрядчик НАТО и Fortinet.

Источник: Getty Images Источник: Getty Images

Исследователи обнаружили масштабную уязвимость межсетевых экранов Fortinet, которая предоставила русскоязычным злоумышленникам практически неограниченный доступ к некоторым из крупнейших и наиболее влиятельных организаций мира, включая Oracle, Chevron, Lenovo, Federal Express, оборонного подрядчика НАТО и саму компанию Fortinet.

Почти 74 000 устройств Fortinet с более чем 21 000 IP-адресов в 194 странах были взломаны, а их учетные данные в открытом виде оказались в сети, заявил в интернете и в интервью Боб Диаченко, исследователь безопасности и руководитель SecurityDiscovery.com. Он сказал, что обнаружил данные после получения доступа к командно-контрольному серверу злоумышленников и другой инфраструктуре. В число раскрытых данных также вошли отрасль, выручка и количество сотрудников каждой скомпрометированной организации.

Исключительно масштабные, низкая оперативная безопасность.

Независимый исследователь Кевин Бомонт сообщил, что «почти все» скомпрометированные устройства оставались в сети по состоянию на утро среды. Он также добавил, что подтвердил в нескольких организациях, данные которых были обнаружены в логах злоумышленников, что учетные данные являются подлинными и актуальными. Во многих случаях, после компрометации устройств, злоумышленники получали доступ к централизованным системам аутентификации пострадавших организаций, таким как серверы Radius и Microsoft Active Directory. По данным опроса Shodan, количество скомпрометированных устройств составляет примерно половину всех межсетевых экранов Fortinet, подключенных к Интернету.

«Масштаб этого взлома затрагивает практически все секторы мировой экономики, не щадя ни одну отрасль», — написали исследователи из компании Hudson Rock, занимающейся вопросами безопасности и также проанализировавшей данные. «Злоумышленники создали проверенную базу данных рабочих учетных данных для некоторых крупнейших предприятий на планете».

Диаченко, Бомонт и Хадсон Рок настоятельно призвали пользователей Fortinet немедленно проверить свои сети на наличие признаков компрометации. Хадсон Рок предоставил эту поисковую систему для определения местоположения затронутых доменов.

Масштаб операции исключителен. Злоумышленник, мотивы которого, по словам Диаченко, были преступными, начал с массового сканирования интернета в поисках точек удаленного доступа FortiGate. Затем он использовал специально разработанный исполняемый файл с 25 000 потоков, чтобы заразить сотни тысяч таких точек тысячами комбинаций логинов и паролей. Успешные попытки теперь давали злоумышленникам «прослушивание сети внутри организации».

Хадсон Рок заявил, что злоумышленники затем «активно перехватывали хеши аутентификации SSL VPN и взламывали их, используя огромный выделенный кластер из 45 графических процессоров, управляемый через Hashtopolis». Затем они использовали этот кластер для взлома хешей, то есть перебирали множество комбинаций паролей в открытом виде, пока не находили правильный. Эти пароли позволяли злоумышленникам перемещаться по сети и взламывать среды Active Directory и другие централизованные системы аутентификации.

«Эта агрессивная методология привела к серьезным последствиям в реальном мире», — сказал Хадсон Рок. «Исследование Диаченко подтвердило полную компрометацию сетей в ряде организаций в Японии, Тайване, Вьетнаме, Ираке и Турции. Что особенно тревожно, это включает в себя турецкого подрядчика НАТО по оборонным вопросам, из которого группа успешно похитила секретные оборонные документы».

В интервью Дяченко выразился более лаконично: «Масштаб определяет уровень сложности», — сказал он.

На этом масштабы не остановились. Злоумышленники использовали огромный кластер для запуска «рекурсивной системы с обратной связью и 12 уровнями». Другими словами, не было единого простого словарного запуска. Варианты паролей поступали из пользовательских словарей, содержащих до восьми слов, распространенные шаблоны клавиатуры и правила взлома. Каждый из них зацикливался на каждом шаге. Когда попытки угадывания оказывались успешными, пароли использовались в качестве начальных значений для генерации еще большего количества вариантов. Иными словами, методы взлома совершенствовались с каждой успешной попыткой.

«В этом вопросе они проявили настоящую новаторскую позицию», — сказал исследователь.

Это нововведение резко контрастирует с оперативной безопасностью злоумышленников, которые оставили следы на используемом ими сервере. В хакерских кругах подобные действия считаются ошибками дилетантов.

Компания Hudson Rock заявила, что странами, где были обнаружены взломанные устройства, являются Индия, США, Тайвань, Мексика, Турция и Таиланд. Наибольший ущерб понесли такие отрасли, как ИТ-услуги, строительные материалы, телекоммуникации, строительство и проектирование, промышленное оборудование и финансовые услуги. В базу данных также попали данные таких организаций, как Foxconn, Samsung, Comcast, Siemens, PwC и Accenture. По словам Hudson Rock, в базе данных содержатся данные тысяч других компаний, включая крупные правительственные учреждения и поставщиков критической инфраструктуры.

Межсетевые экраны уже давно являются излюбленным местом проникновения хакеров в сеть. Эти устройства принимают соединения из внешнего интернета, находятся на периметре сети и имеют доступ к ценным ресурсам внутри неё.

Приведенные выше ссылки содержат ряд шагов, которые пользователи межсетевых экранов Fortinet должны предпринять для обеспечения безопасности своих сетей. Учитывая, что данные стали доступны киберпреступникам и, возможно, другим субъектам угроз, которые, как и Диаченко, их обнаружили, риск значителен.

Источник: arstechnica.com