Cibercriminosos conseguiram invadir dezenas de milhares de firewalls e VPNs da fabricante Fortinet que são utilizados por grandes empresas em todo o mundo. A campanha de ataques massivos, que continua em andamento, foi denominada FortiBleed por empresas de segurança digital.
Diferentemente de outros ataques sofisticados que exploram falhas desconhecidas nos sistemas, esta campanha utiliza uma abordagem mais simples e básica: a negligência das empresas em relação às senhas de acesso. Muitas organizações não alteram as senhas padrão dos firewalls e não verificam se as credenciais utilizadas em sistemas expostos à internet já foram vazadas anteriormente.
O método de ataque funciona da seguinte forma: primeiro, os hackers utilizam ferramentas automatizadas para escanear a internet em busca de firewalls e VPNs da Fortinet expostos publicamente. Em seguida, eles conseguem acesso aos dispositivos utilizando listas de senhas que já foram vazadas em incidentes anteriores. Uma vez dentro do sistema, os cibercriminosos transformam o dispositivo em um ponto de escuta, monitorando o tráfego que passa por ele e coletando novas credenciais que fluem pela rede. Essas senhas recém-obtidas são então alimentadas de volta ao scanner para comprometer ainda mais dispositivos, criando um ciclo automático de propagação.
A empresa de segurança Hudson Rock revelou ter encontrado evidências de que mais de 73 mil URLs únicas da Fortinet foram hackeadas. Já a empresa SOCRadar afirmou que o total de dispositivos comprometidos ultrapassa 30 mil. Entre as empresas afetadas estão nomes de grande porte como Accenture, Comcast, Foxconn, Lenovo, Oracle, Samsung, Siemens e PwC.
Os países com maior número de dispositivos comprometidos são Índia, Estados Unidos, Taiwan e México, mas vítimas foram identificadas em praticamente todas as regiões do mundo. Os setores mais impactados incluem serviços de tecnologia da informação, materiais de construção e telecomunicações. Agências governamentais também figuram entre as vítimas, conforme relatado pela SOCRadar.
Ambas as empresas de segurança indicam que o grupo por trás desta campanha parece ter origem russófona. Os relatórios foram baseados na descoberta de listas de credenciais para dispositivos Fortinet e suas respectivas empresas associadas. O pesquisador de segurança Bob Diachenko foi o primeiro a reportar a campanha no fim de semana. O pesquisador independente Kevin Beaumont analisou os dados e confirmou que as informações são autênticas.
A Fortinet, ao ser procurada pela TechCrunch, declarou estar ciente desta campanha de coleta de credenciais de terceiros direcionada aos seus firewalls e gateways de VPN. Segundo a empresa, a análise indica que os dados envolvidos são uma redistribuição de informações de incidentes anteriores, combinada com ataques de força bruta, e não está relacionada a nenhum incidente ou alerta recente.
Nos últimos anos, diversas campanhas de ataques miraram e comprometeram dispositivos da Fortinet, geralmente explorando vulnerabilidades nos sistemas. Neste caso, no entanto, os hackers estão confiando exclusivamente em senhas vazadas, uma abordagem mais simples e menos sofisticada.
Fonte: TechCrunch
