
Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
FortiBleed to rozległa kampania kradzieży poświadczeń wymierzona w urządzenia FortiGate, wykorzystywane przez organizacje jako kluczowy element ochrony brzegu sieci oraz zdalnego dostępu. Jej celem było pozyskiwanie danych logowania, plików konfiguracyjnych i informacji umożliwiających dalszą kompromitację infrastruktury.
Najważniejszy aspekt tej sprawy polega na tym, że kampania nie wygląda na odosobniony incydent związany wyłącznie z wyciekiem poświadczeń. Ustalenia badaczy wskazują, że zdobyte dane mogły być wykorzystywane w kolejnych etapach ataku, w tym w operacjach powiązanych z ransomware.
W skrócie
FortiBleed został powiązany z infrastrukturą i aktywnością kojarzoną z grupami ransomware INC oraz Lynx. To sugeruje, że przejęcie danych z urządzeń FortiGate mogło stanowić etap przygotowawczy do późniejszych włamań, szantażu i szyfrowania systemów.
- Kampania obejmowała kradzież poświadczeń i plików konfiguracyjnych z urządzeń FortiGate.
- Na części skompromitowanych systemów instalowano niestandardowe narzędzie do sniffingu ruchu.
- Przechwytywane były m.in. dane VPN i inne informacje uwierzytelniające.
- Badacze wskazali powiązania z panelami administracyjnymi i negocjacyjnymi grup INC oraz Lynx.
- Skala operacji objęła setki tysięcy obserwowanych urządzeń i tysiące realnie naruszonych systemów.
Kontekst / historia
Sprawa FortiBleed zyskała rozgłos po ujawnieniu serwera zawierającego dane pochodzące z ponad 73 tysięcy urządzeń Fortinet. Wśród ujawnionych materiałów znajdowały się pliki konfiguracyjne, poświadczenia i komponenty pomocnicze wspierające dalsze ataki na konta użytkowników.
Początkowo incydent mógł być postrzegany jako kolejny przypadek masowego wycieku danych dostępowych. W miarę rozwoju analiz okazało się jednak, że operacja miała znacznie bardziej zorganizowany charakter, obejmowała rozbudowane zaplecze serwerowe oraz podział ról typowy dla dojrzałych grup przestępczych.
Dodatkowym czynnikiem podnoszącym wagę zagrożenia były korelacje pomiędzy ofiarami kampanii a organizacjami pojawiającymi się później na stronach wyciekowych operatorów ransomware. Taki związek wzmacnia hipotezę, że skradzione poświadczenia nie służyły jedynie sprzedaży lub jednorazowemu wykorzystaniu, ale mogły stanowić element szerszego łańcucha ataku.
Analiza techniczna
Kluczowym elementem technicznym kampanii było użycie niestandardowego narzędzia określanego jako „FortiGate Sniffer”. Złośliwe oprogramowanie instalowano na przejętych urządzeniach, aby przechwytywać ruch sieciowy i wydobywać z niego dane uwierzytelniające, w tym poświadczenia do połączeń VPN.
Taki scenariusz wskazuje, że napastnicy nie ograniczali się do prostego pobrania istniejących danych konfiguracyjnych. Zamiast tego rozwijali trwały dostęp do newralgicznego punktu infrastruktury, co pozwalało im monitorować komunikację i zbierać kolejne dane potrzebne do dalszej eskalacji działań.
W toku dochodzenia zidentyfikowano także serwer Windows powiązany z infrastrukturą operacji. Analiza artefaktów z tego hosta ujawniła sesje przeglądarkowe prowadzące do paneli administracyjnych i negocjacyjnych związanych z grupami INC oraz Lynx. To istotny sygnał atrybucyjny, ponieważ łączy etap kradzieży poświadczeń z późniejszą monetyzacją dostępu charakterystyczną dla operacji ransomware.
Badacze opisali również skalę aktywności. Kampania miała obejmować ponad 430 tysięcy obserwowanych zapór FortiGate na świecie, a na około 19 tysiącach z nich wdrożono sniffer ruchu. Po powiadomieniu części ofiar liczba aktywnie skompromitowanych urządzeń miała spaść do około 11 tysięcy. Zidentyfikowano też około 500 serwerów wykorzystywanych operacyjnie.
Niepokój budziły również ślady trwałego utrzymywania dostępu. Na części systemów odnajdywano backdoorowe konta użytkowników, w tym konto o nazwie „adminin”, co może wskazywać na próbę zachowania kontroli nad urządzeniem nawet po częściowych działaniach naprawczych. Pojawiły się też przesłanki sugerujące możliwe wykorzystanie nieujawnionej wcześniej podatności typu zero-day w Nextcloud do rozszerzania dostępu po początkowej kompromitacji.
Konsekwencje / ryzyko
Ryzyko związane z FortiBleed ma charakter wielowarstwowy. Przejęcie poświadczeń VPN i danych administracyjnych może umożliwić napastnikom bezpośrednie wejście do środowiska organizacji z pominięciem wielu klasycznych zabezpieczeń obwodowych.
Równie groźny jest wyciek plików konfiguracyjnych urządzeń bezpieczeństwa. Tego typu dane mogą ujawniać topologię sieci, segmentację, polityki dostępu, zasady filtrowania ruchu i inne informacje pomocne przy planowaniu dalszej infiltracji.
Powiązanie kampanii z grupami ransomware zmienia ocenę całego incydentu. Nie jest to już wyłącznie problem naruszenia poufności poświadczeń, ale realne zagrożenie dla ciągłości działania przedsiębiorstwa, obejmujące możliwość szyfrowania zasobów, wycieku danych oraz wymuszeń finansowych.
Szczególnie narażone mogą być organizacje wykorzystujące FortiGate jako centralny punkt zdalnego dostępu, a także podmioty z sektorów o wysokiej presji operacyjnej, takich jak administracja publiczna, edukacja, ochrona zdrowia czy przemysł.
Rekomendacje
Organizacje korzystające z urządzeń FortiGate powinny potraktować FortiBleed jako sygnał do pełnego przeglądu bezpieczeństwa infrastruktury brzegowej. Sama zmiana pojedynczych haseł może okazać się niewystarczająca, jeśli napastnik utrzymał trwały dostęp lub zmodyfikował konfigurację urządzenia.
- Wymusić reset wszystkich poświadczeń administracyjnych, kont VPN oraz kont serwisowych powiązanych z potencjalnie naruszonymi urządzeniami.
- Przeprowadzić kontrolę integralności konfiguracji FortiGate oraz przegląd lokalnych kont użytkowników.
- Zweryfikować harmonogramy zadań, polityki bezpieczeństwa i wszelkie nietypowe zmiany w ustawieniach urządzenia.
- Sprawdzić obecność nieautoryzowanych kont, w tym wzorców podobnych do „adminin”.
- Przeanalizować logi administracyjne i VPN pod kątem anomalii w adresach IP, godzinach aktywności i geolokalizacji.
- Zweryfikować, czy nie wystąpiły próby credential stuffing wobec innych usług organizacji.
- Objąć wzmożonym monitoringiem konta uprzywilejowane, kontrolery domeny, systemy plików i platformy kopii zapasowych.
- Wykonać hunting pod kątem lateral movement po potencjalnej kompromitacji urządzenia brzegowego.
- Wzmocnić MFA dla zdalnego dostępu oraz ograniczyć uprawnienia administracyjne zgodnie z zasadą najmniejszych przywilejów.
- Rozważyć pełną analizę forensic urządzeń i hostów powiązanych z administracją zaporami.
Podsumowanie
FortiBleed pokazuje, że kompromitacja urządzeń bezpieczeństwa może być początkiem pełnoskalowej operacji ransomware. Kradzież poświadczeń, przechwytywanie ruchu oraz utrzymywanie trwałego dostępu zostały w tym przypadku powiązane z grupami INC i Lynx, co znacząco podnosi rangę incydentu.
Dla zespołów bezpieczeństwa najważniejszy wniosek jest jasny: zdarzenia dotyczące zapór, koncentratorów VPN i innych systemów dostępowych powinny być traktowane jako potencjalny etap przygotowawczy do szerszego ataku na całą organizację. Szybka weryfikacja integralności, rotacja poświadczeń i dogłębna analiza śladów kompromitacji są w takim scenariuszu kluczowe.
Źródła
- BleepingComputer – FortiBleed credential-theft campaign linked to Lynx ransomware
- BleepingComputer – FortiBleed campaign used custom FortiGate sniffer to steal credentials
- BleepingComputer – FortiBleed leak exposes Fortinet VPN credentials for 73,000 devices
- CISA – CISA warns Fortinet users to secure devices after FortiBleed leak
- Unit 42 – Lynx ransomware analysis