
Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
FortiBleed to nazwa kampanii powiązanej z brokerem początkowego dostępu, który przejął kontrolę nad znaczną liczbą urządzeń Fortinet FortiGate. Celem operacji było pozyskiwanie poświadczeń, utrzymywanie trwałego dostępu do środowisk ofiar oraz przygotowanie gruntu pod kolejne etapy ataku.
Najnowsze ustalenia wskazują, że zdobyty w ten sposób dostęp nie służy już wyłącznie rozpoznaniu czy kradzieży danych. Coraz więcej sygnałów sugeruje jego monetyzację we współpracy z operatorami ransomware-as-a-service, w tym grupami Inc i Lynx.
W skrócie
- Kampania objęła dużą liczbę wystawionych do Internetu urządzeń FortiGate.
- Na części systemów zainstalowano komponent przechwytujący poświadczenia.
- Badacze powiązali operatorów infrastruktury z panelami negocjacyjnymi grup Inc Ransom i Lynx.
- Zaobserwowano także informacje o wykorzystaniu podatności zero-day w Nextcloud do rozszerzania dostępu.
- Model działania wskazuje na połączenie harvesting’u poświadczeń, access brokeringu i potencjalnych wdrożeń ransomware.
Kontekst / historia
Kampania została nagłośniona po wykryciu ataków wymierzonych w niewłaściwie zabezpieczone zapory Fortinet FortiGate. Z czasem stało się jasne, że nie chodzi o pojedyncze incydenty, lecz o szeroko zakrojoną operację nastawioną na systematyczne pozyskiwanie danych uwierzytelniających i utrzymywanie dostępu do urządzeń brzegowych.
Według dostępnych ustaleń napastnicy skanowali publicznie dostępne urządzenia FortiGate, a następnie instalowali sniffer napisany w języku Go. Takie narzędzie pozwalało przekształcić firewall w punkt przechwytujący loginy i hasła, szczególnie w kontekście dostępu zdalnego oraz administracji.
Nowy etap kampanii pokazuje zmianę modelu działania: od masowego pozyskiwania dostępu do jego praktycznej komercjalizacji. W cyberprzestępczym ekosystemie broker początkowego dostępu dostarcza foothold innym grupom specjalizującym się w eskalacji uprawnień, ruchu bocznym, eksfiltracji danych i szyfrowaniu systemów. FortiBleed wpisuje się w ten schemat bardzo wyraźnie.
Analiza techniczna
Technicznie kampania opiera się na kompromitacji urządzeń FortiGate i wykorzystaniu ich jako źródła danych uwierzytelniających. Sniffer zainstalowany na firewallu może zbierać poświadczenia przechodzące przez urządzenie lub używane do logowania do usług dostępnych przez zaporę. Daje to napastnikom dostęp do wyjątkowo cennych informacji, takich jak dane do VPN, konta uprzywilejowane czy wiedza o strukturze środowiska.
Badacze wskazali, że operator powiązany z infrastrukturą FortiBleed był aktywnie zalogowany do paneli negocjacyjnych dwóch grup ransomware: Inc oraz Lynx. To mocna przesłanka sugerująca, że zdobyty dostęp nie jest jedynie anonimowo sprzedawany, ale może być wykorzystywany w bardziej zintegrowanym modelu operacyjnym.
Analiza ujawniła również błędy operacyjne po stronie atakujących. To właśnie niedociągnięcia w zakresie bezpieczeństwa operacyjnego miały umożliwić badaczom dostęp do plików wewnętrznych, logów oraz dokumentacji kampanii. Z materiałów tych wynikało, że operatorzy prowadzili ewidencję celów, użytych poświadczeń, uzyskanego dostępu do sieci oraz informacji o tym, czy na danym celu wdrożono ransomware.
Szczególnie niepokojący jest obserwowany na części ofiar pełny łańcuch ataku. Obejmował on kompromitację dostępu VPN, przejście do kontrolera domeny oraz uzyskanie uprawnień domain admin. To klasyczna ścieżka prowadząca do przejęcia środowiska Windows na poziomie przedsiębiorstwa.
Osobnym elementem kampanii ma być wykorzystanie co najmniej jednej podatności zero-day w Nextcloud. Z opisu wynika, że wektor ten służył przede wszystkim do rozszerzania dostępu i wspierania fazy intrusion oraz access brokeringu, a nie bezpośrednio do uruchamiania ransomware. Pokazuje to, że atakujący budują wielowarstwowy model wejścia do organizacji.
Konsekwencje / ryzyko
Największe ryzyko wynika z charakteru zaatakowanych systemów. Firewall perymetryczny nie jest zwykłym hostem końcowym, lecz systemem o wysokim poziomie zaufania, często mającym dostęp do sesji VPN, logów, danych uwierzytelniających i ruchu między segmentami sieci. Jego kompromitacja może przez długi czas pozostać niezauważona, a skutki obejmować całe środowisko organizacji.
Dla firm oznacza to kilka równoległych zagrożeń. Kradzież poświadczeń umożliwia trwałe przejęcie kont i obejście klasycznych mechanizmów ochronnych. Dodatkowo taki dostęp może zostać sprzedany lub przekazany kolejnym grupom, co wydłuża okno zagrożenia nawet po początkowym incydencie. Przejście od access brokera do operatora ransomware znacząco podnosi też wpływ biznesowy incydentu.
Istotny jest również fakt, że kampania mogła być selektywna dopiero na dalszych etapach. Oznacza to, że część organizacji mogła zostać skompromitowana wcześniej, ale nie odczuła jeszcze końcowych skutków w postaci szyfrowania systemów. W praktyce takie przypadki należy traktować jako potencjalny incydent pre-ransomware.
Rekomendacje
Organizacje korzystające z FortiGate powinny priorytetowo przeprowadzić przegląd urządzeń brzegowych pod kątem integralności konfiguracji, obecności nietypowych procesów, artefaktów binarnych oraz anomalii w logach uwierzytelniania. Sama aktualizacja oprogramowania może nie wystarczyć, jeśli urządzenie zostało już zmodyfikowane przez napastników.
- przeprowadzić pełną rotację poświadczeń używanych przez VPN, kont administracyjnych i kont serwisowych powiązanych z FortiGate,
- zweryfikować logi pod kątem nietypowych logowań, zmian konfiguracji i dostępu spoza standardowych lokalizacji lub godzin,
- sprawdzić, czy nie doszło do nieautoryzowanego dostępu do kontrolerów domeny, systemów IAM i segmentów administracyjnych,
- przejrzeć relacje zaufania wynikające z dostępu zdalnego przez firewall,
- wdrożyć lub zaostrzyć MFA dla wszystkich ścieżek zdalnego dostępu,
- wykorzystać EDR/XDR oraz monitoring sieciowy do wykrywania ruchu bocznego i prób eskalacji uprawnień,
- przygotować procedurę incident response zakładającą, że kompromitacja firewalli mogła doprowadzić do pełnego naruszenia domeny.
Jeżeli w środowisku działa Nextcloud lub inne usługi publicznie dostępne, należy objąć je przyspieszonym monitoringiem podatności, telemetryką aplikacyjną i analizą logów dostępowych. W obecnym modelu zagrożenia pojedynczego incydentu nie należy oceniać w izolacji, lecz jako element szerszego łańcucha kompromitacji.
Podsumowanie
FortiBleed pokazuje, jak szybko masowa kampania przechwytująca poświadczenia może przejść w etap bezpośredniego zagrożenia ransomware. Kluczowym problemem nie jest wyłącznie podatność urządzeń brzegowych, ale ich rola jako koncentratorów zaufania i danych uwierzytelniających.
Powiązanie z grupami Inc i Lynx sugeruje, że dostęp zdobyty przez brokerów jest już wykorzystywany lub przygotowywany do działań o wysokim wpływie operacyjnym. Dla zespołów bezpieczeństwa oznacza to konieczność traktowania kompromitacji FortiGate jako incydentu o potencjalnym skutku domenowym i ransomware, wymagającego natychmiastowej walidacji dostępu, rotacji poświadczeń i aktywnego threat huntingu.
Źródła
- Dark Reading — FortiBleed Actors Collaborating With Inc, Lynx Ransomware Gangs — https://www.darkreading.com/threat-intelligence/fortibleed-actors-inc-lynx-ransomware-gangs
- SOCRadar Blog — FortiBleed research and campaign analysis — https://socradar.io/
- Cybersecurity Dive — Reporting on FortiGate target list findings — https://www.cybersecuritydive.com/
- TechTarget SearchSecurity — Background on initial access brokers and related threats — https://www.techtarget.com/searchsecurity/