Учетные данные сотрудников британского Foreign, Commonwealth & Development Office, то есть Форин-офиса, оказались в продаже на теневых площадках. Британская пресса пишет, что в утечке фигурируют сотрудники, работавшие за рубежом, включая представительства в Таиланде и на Маврикии. Цена лота — до $60 тыс., или около £44 тыс.
В качестве причин утечки называют инцидент вокруг FortiBleed. Это массовая кампания против устройств Fortinet FortiGate и VPN-шлюзов, где злоумышленники собирали логины и пароли через перебор, словарные атаки и подстановку уже утекших паролей. Британский Национальный центр кибербезопасности предупредил организации с Fortinet-устройствами о необходимости проверять сетевые периметры, поискать признаки компрометации и поменять слабые или повторно использованные пароли.
FortiBleed — название кампании по сбору учетных данных. Fortinet в разборе пишет, что речь идёт о повторном использовании паролей из прошлых инцидентов и переборе на устройствах без нормальной гигиены паролей и многофакторной аутентификации.
CISA сообщала о примерно 74 тыс. Fortinet-устройств, связанных с утекшими учетными данными, включая сетевые экраны и VPN-шлюзы организаций из государственного и частного сектора. В публикациях исследователей и профильных изданий встречаются близкие оценки — от 73,9 тыс. до более чем 80 тыс. URL сетевых экранов, в зависимости от методики подсчёта и момента проверки.
Сначала атакующие пробуют использовать старые пары «логин — пароль» на открытых в интернет VPN-порталах и административных интерфейсах. Этот приём называется подстановкой учетных данных из прошлых утечек. Если пароль повторно использовался в нескольких системах, злоумышленник получает вход без эксплуатации новой уязвимости..
После входа в сетевой экран или VPN-шлюз у атакующего появляется возможность менять настройки, создавать скрытые учетные записи, смотреть журналы, проверять маршруты и искать следующий шаг внутри сети. NCSC среди признаков компрометации выделяет несанкционированное создание аккаунтов и неожиданную активность в логах. При подтверждении взлома ведомство советует изолировать устройство, расследовать события внутри сети и в ряде случаев сбрасывать устройство до заводских настроек, потому что одной смены пароля может быть недостаточно.
Дополнительную тревогу вызываем сама техника сбора паролей уже после захвата устройства. BleepingComputer со ссылкой на исследование SOCRadar описывает инструмент FortigateSniffer: он использовал штатную диагностическую функцию FortiOS для захвата сетевого трафика и вытаскивания из него секретов аутентификации. В отчёте перечислены Kerberos, LDAP, NTLM, RADIUS, SMTP, IMAP, POP3, SMB, RDP, базы данных и другие протоколы.
Также взломщики использовали вычислительные мощности для взлома хешей паролей. В разборе кампании упоминается Hashcat, распределённые GPU-кластеры и извлечение хешей из конфигураций FortiGate.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
Читайте также
Округ США заплатил $1 млн за «удаление» украденных данных. Доказательств удаления не было
Nintendo подтвердила утечку через сторонний HR-сервис: хакеры требовали $2 млн, но игры и пользователи не пострадали