Fortinet güvenlik ürünlerini hedef alan küresel bir siber saldırı kampanyasıtehlikeye girdiBirleşik Krallık hükümeti personeli ve bazı kritik hizmetlerle ilişkili oturum açma kimlik bilgileri. Bu kampanya artık altyapının zayıflığı ve fidye yazılımı saldırıları riskine ilişkin endişeleri artırıyor.
Güvenlik araştırmacıları, bu FortiBleed kampanyasının, Fortinet güvenlik duvarlarını hedef alan en büyük kimlik bilgisi hırsızlığı operasyonlarından biri olduğuna inanıyor. Saldırganlar, yeni bir yazılım güvenlik açığını tespit etmek yerine çalıntı şifreleri kullanıyor, eski şifreleri geri dönüştürüyor ve otomatik giriş denemeleri yapıyor.
Birleşik Krallık hükümeti ve konsey hesapları açığa çıktı
İlk olarak The Telegraph tarafından yayınlanan raporlar, Birleşik Krallık hükümet personeline ait kimlik bilgilerinin suç pazarlarında ortaya çıktığını ortaya çıkardı. Bu çalınan erişimin bir kısmının 60.000 dolara kadar satıldığı bildiriliyor.
Ele geçirilen hesaplar arasında Tayland ve Mauritius'taki İngiliz büyükelçiliklerinde çalışan BT personeli de yer alıyor. Derbyshire ve Waltham Forest belediyelerinin çalışanları da bu saldırının kurbanları arasında yer alıyor.
Raporlara göre sızdırılan veriler arasında e-posta kimlikleri ve ilgili şifreler yer alıyor. Bu oturum açma kimlik bilgileri hala geçerliyse, bilgisayar korsanları başka herhangi bir bilgisayar korsanlığı tekniği kullanmak zorunda kalmadan dahili sistemlere erişebilecektir.
Ayrıca güvenlik uzmanları, geçerli oturum açma bilgilerinin suçlular için çalıntı dosyalardan daha değerli olduğu konusunda uyardı; çünkü bu kimlik bilgileri, güvenlik alarmlarını tetiklemeden normal kullanıcılar gibi oturum açmalarına olanak tanıyor.
Kampanya hükümetin çok ötesine uzanıyor
Saldırı sadece devlet kurumlarının sorunu değil. Açığa çıkan kimlik bilgileri aynı zamanda sağlık hizmeti sağlayıcılarını, enerji şirketlerini, ilaç tedarikçilerini ve dünya çapındaki diğer kritik altyapı operatörlerini de içeriyor.
Siber güvenlik uzmanı ve eski NHS doktoru Dr. Saif Abed, sağlık hizmetleri tedarikçilerine erişimin tehlikeye atılmasının fidye yazılımı saldırıları için bir başlangıç noktası olabileceği konusunda uyardı. Bu tür saldırılar hasta bakımını doğrudan aksatabilir.
Onun uyarısı, patoloji sağlayıcısı Synnovis'e yapılan büyük bir fidye yazılımı saldırısından iki yıl sonra geldi. Bu olay, Londra genelinde binlerce NHS randevusunun ve operasyonunun iptal edilmesine yol açtı.
Yamalanacak yeni yazılım güvenlik açığı yok
Olayın boyutuna rağmen araştırmacılar ve devlet kurumları bunun Fortinet ürünlerindeki yeni bir kusurdan kaynaklanmadığını vurguluyor. Siber suçlular, kimlik bilgisi doldurma, kaba kuvvet şifre saldırısı ve önceki veri ihlallerinden çalınan şifreler dahil olmak üzere bilinen çeşitli saldırı yöntemlerini kullandı. Bu olaylar genellikle zayıf şifrelere sahip olmanın ve iki faktörlü kimlik doğrulamanın kullanılmamasının bir sonucudur.
Güçlü şifre uygulamalarının önemi deFacebook kullanıcılarını hedef alan kimlik avı kampanyalarıyla öne çıkıyorBilgisayar korsanlarının aldatıcı planlar yoluyla oturum açma bilgilerini çalmaya çalıştığı yer.
FortiBleed saldırısı hakkında halkı uyaran ilk kişi, açığa çıkan sunucuyu keşfettikten sonra güvenlik uzmanı Volodymyr "Bob" Diachenko oldu. Bu sunucuda geçerli Fortinet yöneticisi ve VPN kimlik bilgileri bulunuyordu.
Veritabanı dünya çapında 80.000'den fazla açıkta kalan Fortinet cihazını içeriyordu. Tahminler, daha geniş bir kampanyanın hedeflerini bulmak için 430.000'den fazla cihazı taradığını gösteriyor.
Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC), Fortinet sistemlerini hedef alan kaba kuvvet saldırılarının devam ettiğini doğruladı. Bu cihazları kullanan kuruluşlara acil uyarı yayınladılar.
Ajans, kuruluşların şifrelerini hemen sıfırlamasını tavsiye ediyor. Ayrıca oturum açma denemelerinin kontrol edilmesini, etkilenen sistemlerin izole edilmesini ve şüpheli etkinliklere karşı ağların izlenmesini de önerirler.
Diğer ulusal siber güvenlik kurumları da benzer bir uyarı yayınladı. Bu şunları içerir:Singapur'daki yetkililerKampanya dünya çapındaki kuruluşları etkilemeye devam ederken, Hollanda ve ABD'deki CISA.
Rus Bağlantıları İncelenmeye Devam Ediyor
Saldırı altyapısının ve kötü amaçlı kodun bazı bölümlerinin Rusça unsurlar içerdiği bildiriliyor. Çevrimiçi takma ad olan "SantaAd"ı kullanan bir diğer tehdit aktörü de kimlik bilgilerinin satışının reklamını yapıyor.
Ancak İngiliz yetkililer kampanyayı doğrudan Rus hükümetine bağlamadı. Ancak NCSC'ye göre şu anda hükümetin müdahalesine dair bir işaret yok.
Bununla birlikte, İngiliz istihbarat görevlilerisürekli stresliRusya merkezli hacker çetelerinin genellikle elverişli bir ortamdan yararlandıkları gerçeği. Bu gruplar Rusya'nın çıkarlarını hedef almadıkları sürece saldırılar gerçekleştirebilmektedirler.
Daha yeni tehdit istihbaratı, çalınan Fortinet kimlik bilgilerinin halihazırda fidye yazılımı operasyonlarını besliyor olabileceğini öne sürüyor. SOCRadar'daki araştırmacılar yakın zamanda FortiBleed altyapısını INC ve Lynx fidye yazılımı gruplarıyla ilişkilendirdi.
Ayrıca uyarı, kimlik bilgisi hırsızlığının gelecekteki saldırıların başlangıcı olabileceğini gösteriyor. Şirketler için alınacak ders, herhangi bir yazılım güvenlik açığından yararlanılmasa bile, şifre zayıflıklarının siber suçluların sistemlerine erişmesi için yeterli olacağıdır.
