Еден од најголемите кибер-безбедносни инциденти оваа година откри протекување на десетици илјади кориснички имиња и лозинки за корпоративни VPN системи, при што експертите предупредуваат дека дел од компромитираните податоци потенцијално се однесуваат и на компании во Европа, вклучително и од регионот.
Истражувањето, кое го води безбедносниот аналитичар Боб Дијаченко, откри архива со 73.932 записи кои вклучуваат URL адреси, кориснички имиња и лозинки поврзани со Fortinet и FortiGate VPN и firewall системи. Според анализата, податоците се резултат на масовни brute-force напади и искористување на постоечки ранливости, спроведени во повеќегодишна кибер-кампања.
Дијаченко ја опиша операцијата како „широка и систематска кампања на пробивање“, во која биле извршени повеќе од 1,1 милијарда обиди за најава на над 320.000 FortiGate системи, како и дополнителни 2,1 милијарди обиди насочени кон Microsoft SQL Server инфраструктури. Дел од податоците, според него, биле декриптирани со помош на напредни GPU кластери, што укажува на високо организирана активност.
Во базата се пронајдени податоци за бројни големи глобални компании, меѓу кои Chevron, Samsung, Foxconn, Comcast, AT&T, Mercedes-Benz, Toyota, Sinopec и други индустриски и технолошки гиганти. Дел од записите содржеле и домени на илјадници организации, што укажува на широко распространет ризик.
Според истражувачите, напаѓачите успеале да добијат и SSL VPN автентикациски хешови, кои подоцна биле искористени за пристап до интерни системи и Active Directory инфраструктури кај одредени организации. Во некои случаи се тврди дека цели организации биле целосно компромитирани, вклучително и субјекти кои работат со НАТО-структури.
Од безбедносните анализи произлегува дека не станува збор за нова „zero-day“ ранливост, туку за комбинација од веќе познати пропусти и слаби безбедносни практики. Еден од клучните проблеми е начинот на кој FortiOS системите складираат лозинки по надградба, при што тие остануваат во постар SHA-256 формат додека администраторот не се најави повторно, што го олеснува нивното пробивање.
Компанијата Fortinet соопшти дека не станува збор за нов инцидент или ново пробивање на нивните системи, туку за повторно објавување на веќе украдени податоци од претходни напади и brute-force активности. Од таму препорачуваат итна промена на лозинки и воведување на двофакторска автентикација (MFA) како основна заштита.
Експертите предупредуваат дека поради широко распространетата употреба на Fortinet VPN решенија, ризикот не е ограничен само на големи корпорации, туку може да ги опфати и помали организации, вклучително и компании од Балканот.
Иако дел од погодените системи се веќе заштитени со нови безбедносни ажурирања, истражувачите нагласуваат дека ваквите напади покажуваат колку се критични редовното одржување, силните лозинки и безбедносните протоколи во заштита на корпоративните мрежи.
