Глобална сајбер кампања наречена „FortiBleed“ досега компромитирала десетици илјади Fortinet firewall и VPN уреди во најмалку 150 земји, предупредуваат експерти за сајбер безбедност. Според досегашните проценки, погодени се меѓу 73.000 и повеќе од 86.000 уреди, додека истрагата за точниот број на компромитирани мрежи сè уште трае.
Според анализите, напаѓачите не искористиле нова критична ранливост во софтверот на Fortinet, туку комбинација од претходно украдени конфигурациски датотеки и стари кориснички податоци, чии лозинки со години не биле променети.
Експертите наведуваат дека шифрираните лозинки биле пробивани со напредни компјутерски системи, по што автоматизирани алатки проверувале кои кориснички сметки сè уште се активни.
Поради начинот на кој е изведена операцијата, дел од безбедносните аналитичари сметаат дека зад нападите најверојатно стои голема хакерска група поддржана од држава, а како можен извршител се посочува руската група APT28, позната и како „Fancy Bear“. На ова предупреди и Британскиот национален центар за сајбер безбедност (NCSC).
Според британските медиуми, меѓу компромитираните сметки има и профили на вработени во државни институции во Обединетото Кралство, вклучувајќи службеници во Министерството за надворешни работи, амбасади и локални власти.
Наводно, дел од украдените податоци веќе се понудени на продажба на „дарк веб“ за околу 40.000 фунти. Американската компанија Microsoft со години ги следи активностите на групите „Fancy Bear“ и „Forest Blizzard“, за кои западните разузнавачки служби сметаат дека се поврзани со руската воена разузнавачка служба ГРУ.
Компаниите за сајбер безбедност предупредуваат дека компромитиран firewall или VPN уред може да биде почетна точка за многу посериозни напади. Откако напаѓачот ќе добие пристап до мрежата, може да преземе контрола врз системите за управување со кориснички сметки, да пристапи до доверливи документи или да инсталира малициозен софтвер и ransomware.
Поради тоа, меѓу потенцијално загрозените се државни институции, телекомуникациски оператори, здравствени установи, енергетски компании и универзитети.
Од Fortinet соопштија дека нивната истрага покажала дека најголемиот дел од компромитираните сметки се последица на претходно украдени лозинки кои никогаш не биле сменети, а не на нов безбедносен пропуст во нивниот софтвер.
Националните центри за сајбер безбедност во повеќе држави препорачуваат администраторите веднаш да ги променат административните и VPN лозинките, да ги ажурираат FortiOS системите и детално да ги проверат корисничките сметки за евентуални сомнителни активности.
Експертите предупредуваат дека случајот со „FortiBleed“ уште еднаш покажува дека сајбер безбедноста не зависи само од редовното ажурирање на софтверот, туку и од навремената промена на лозинките, добрите безбедносни практики и постојаниот надзор на мрежните системи.