
Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
FortiBleed to szeroko zakrojona kampania kradzieży poświadczeń wymierzona w urządzenia FortiGate dostępne z internetu. Najnowsze ustalenia wskazują, że przejęte dane logowania nie były wykorzystywane wyłącznie do gromadzenia dostępu, ale także jako etap przygotowawczy do dalszych włamań, w tym ataków ransomware prowadzonych przez grupy INC i Lynx.
To istotna zmiana w ocenie zagrożenia, ponieważ pokazuje, że urządzenia brzegowe mogą pełnić rolę nie tylko celu ataku, ale również platformy do rozwijania kolejnych faz kompromitacji środowiska ofiary.
W skrócie
Badacze powiązali infrastrukturę FortiBleed z operatorami obsługującymi panele negocjacyjne dwóch rodzin ransomware. Kampania obejmowała masowe skanowanie urządzeń FortiGate, używanie znanych kombinacji poświadczeń oraz instalację niestandardowych snifferów pakietów w celu pasywnego przechwytywania danych uwierzytelniających.
- Aktywność objęła setki tysięcy urządzeń dostępnych z internetu.
- Potwierdzony dostęp administracyjny uzyskano do setek celów.
- Część przejętych dostępów została prawdopodobnie wykorzystana do wdrożeń ransomware.
- Operatorzy byli łączeni z zapleczem negocjacyjnym grup INC i Lynx.
Kontekst / historia
Operacja FortiBleed została ujawniona po błędzie operacyjnym po stronie atakujących, który doprowadził do wystawienia w internecie serwera zawierającego dane skradzione z tysięcy urządzeń Fortinet. Analiza wskazuje, że była to zorganizowana kampania o dużej skali, oparta na automatyzacji oraz wyraźnym podziale ról między członków zespołu przestępczego.
W toku dalszego dochodzenia zidentyfikowano dodatkowe serwery powiązane z zapleczem tej operacji. Znalezione tam logi, konfiguracje, skrypty automatyzujące i artefakty operacyjne umożliwiły połączenie kampanii kradzieży poświadczeń z późniejszym wykorzystaniem dostępu przez grupy ransomware. Taki model działania przypomina aktywność brokerów początkowego dostępu, którzy pozyskują i monetyzują dostęp do środowisk ofiar.
Analiza techniczna
Schemat ataku obejmował kilka następujących po sobie faz. Najpierw operatorzy prowadzili rozpoznanie internetu w poszukiwaniu publicznie dostępnych bram FortiGate. Następnie podejmowali próby logowania przy użyciu znanych zestawów poświadczeń. Po uzyskaniu dostępu instalowali własne narzędzia do sniffingu ruchu sieciowego, co pozwalało im pasywnie przechwytywać kolejne dane uwierzytelniające oraz informacje autoryzacyjne.
Szczególnie istotny był komponent napisany w języku Go, wykorzystywany jako sniffer na części przejętych urządzeń. To podejście jest niebezpieczne, ponieważ urządzenie brzegowe staje się punktem obserwacji ruchu przechodzącego przez infrastrukturę ofiary. W praktyce daje to możliwość pozyskiwania danych administracyjnych, sesyjnych i operacyjnych z wielu systemów bez konieczności natychmiastowego ruchu bocznego.
Badacze wskazali również, że operator mający dostęp do infrastruktury FortiBleed był zalogowany do paneli negocjacyjnych INC Ransom i Lynx. To ważny wskaźnik łączący etap kradzieży poświadczeń z końcową fazą ataku polegającą na szyfrowaniu systemów i wymuszeniu okupu. Część danych ofiar widocznych w panelach ransomware miała pokrywać się z informacjami pochodzącymi z kampanii FortiBleed.
Dodatkowo wykryto artefakty związane ze środowiskami Citrix, w tym listy celów obejmujące adresy IP i domeny. Choć nie stanowi to jeszcze ostatecznego dowodu masowego przechwytywania poświadczeń z tych systemów, sugeruje rozszerzenie modelu operacyjnego na inne technologie zdalnego dostępu. Pojawiły się także sygnały o możliwym wykorzystaniu nieujawnionej podatności typu zero-day w ekosystemie Nextcloud.
Konsekwencje / ryzyko
Najpoważniejszą konsekwencją FortiBleed jest przekształcenie urządzeń bezpieczeństwa w platformę do dalszej kompromitacji środowiska. Jeżeli firewall lub brama VPN zostanie przejęta, atakujący może pozyskiwać dane uwierzytelniające do kolejnych systemów, omijać część mechanizmów detekcji i budować trwały dostęp o wysokich uprawnieniach.
Ryzyko nie ogranicza się do utraty pojedynczych haseł. W praktyce może oznaczać pełne przejęcie kont administracyjnych, ruch boczny w sieci, eksfiltrację danych, a następnie wdrożenie ransomware. Szczególnie narażone są organizacje posiadające internetowo dostępne urządzenia brzegowe, niewymuszone MFA, słabą rotację haseł oraz ograniczoną widoczność logów z warstwy sieciowej.
- Przejęcie kont uprzywilejowanych.
- Niewidoczne przechwytywanie poświadczeń i sesji.
- Ułatwiona eskalacja uprawnień i ruch boczny.
- Ryzyko eksfiltracji danych oraz szyfrowania systemów.
Rekomendacje
Organizacje korzystające z FortiGate powinny potraktować tę kampanię jako incydent wysokiego priorytetu i przeprowadzić przegląd bezpieczeństwa obejmujący zarówno urządzenia brzegowe, jak i systemy zależne od ich usług uwierzytelniających.
- Zweryfikować wszystkie publicznie dostępne urządzenia FortiGate pod kątem nieautoryzowanych zmian konfiguracji, nietypowych procesów i śladów sniffingu.
- Przeanalizować logi logowania administratorów, sesji VPN oraz zmian uprzywilejowanych pod kątem anomalii czasowych, geograficznych i behawioralnych.
- Wymusić natychmiastową rotację poświadczeń administracyjnych oraz haseł kont, które mogły przechodzić przez zagrożone urządzenia.
- Włączyć i egzekwować MFA wszędzie tam, gdzie to możliwe, szczególnie dla paneli administracyjnych, dostępu zdalnego i kont uprzywilejowanych.
- Ograniczyć ekspozycję interfejsów zarządzających do zaufanych adresów IP lub wydzielonych kanałów administracyjnych.
- Zaktualizować firmware oraz wszystkie powiązane komponenty zgodnie z zaleceniami producenta.
- Uruchomić dodatkowe monitorowanie ruchu wychodzącego z urządzeń brzegowych oraz korelację zdarzeń w systemach SIEM.
- Sprawdzić środowiska Citrix i inne systemy zdalnego dostępu pod kątem prób rozpoznania, nadużyć kont i nietypowych logowań.
- Przygotować plan reagowania na scenariusz, w którym przejęte poświadczenia zostały już użyte do dalszej eskalacji uprawnień lub wdrożenia ransomware.
W środowiskach o podwyższonym ryzyku warto traktować urządzenia brzegowe jak potencjalnie skompromitowane i przeprowadzić pełną walidację integralności konfiguracji oraz łańcucha dostępu administracyjnego.
Podsumowanie
FortiBleed pokazuje, że masowa kradzież poświadczeń z urządzeń brzegowych może być bezpośrednim etapem poprzedzającym ataki ransomware. Powiązanie tej kampanii z operacjami INC i Lynx wzmacnia ocenę, że nie chodzi o przypadkowe zbieranie danych, lecz o przemysłowy model pozyskiwania dostępu do organizacji.
Dla zespołów bezpieczeństwa to wyraźny sygnał, że firewalle i bramy zdalnego dostępu należy traktować jednocześnie jako krytyczne zasoby telemetryczne oraz potencjalne punkty przejęcia całego środowiska.