Una massiccia campagna che ha coinvolto i dispositivi di Fortinet risultati esposti su Internet, sta attirando molta attenzione da parte della comunità di cybersecurity internazionale. L’operazione, è stata battezzata con il nome “FortiBleed”.
Anche se i numeri sono ancora in consolidamento, le ultime stime parlando di 320.000 firewall FortiGate potenzialmente nel mirino dei criminali informatici, attraverso i quali sono riusciti a validare con successo circa 75.000 credenziali associate ad interfacce di amministrazione e VPN SSL.
Hudson Rock ha inoltre pubblicato statistiche che mostrano come il maggior numero di dispositivi interessati si trovi in India, Stati Uniti, Taiwan, Messico, Turchia, Thailandia, Colombia, Malesia, Cile ed Emirati Arabi Uniti.
Secondo le informazioni che circolano in rete, la campagna sfrutta un meccanismo che consente agli attaccanti di espandere gli accessi compromessi in modo completamente autonomo.
Il modus operandi è semplice ma ha lo stesso tempo inquietante. Gli operatori scansionano la rete per individuare dispositivi Fortinet esposti su Internet e una volta rilevati, testano le credenziali utilizzando dei database che sono stati costruiti a partire da password recuperate da precedenti violazioni di sicurezza e dai dati raccolti tramite infostealer.
Ogni accesso riuscito viene registrato in un archivio e utilizzato per ulteriori attività offensive.
La caratteristica preoccupante dell’operazione è la sua natura ricorsiva, infatti, una volta ottenuto l’accesso a uno specifico firewall, gli attaccanti lo trasformano in un punto di osservazione della rete. Quindi Intercettano il traffico che lo attraversa per raccogliere ulteriori nuove credenziali. Queste vengono poi reinserite nel processo di scansione e verifica, creando un ciclo continuo di compromissione.
Advertising
I numeri riportati sono enormi, si parla di oltre 1,16 miliardi di tentativi di autenticazione che sarebbero stati eseguiti contro più di 320.000 dispositivi FortiGate.Soc Radar (che nel momento in cui scriviamo riporta 437.000 dispositivi potenzialmente nel mirino dei criminali informatici), ha messo a disposizione un tool, attraverso il quale le organizzazioni possono verificare se i loro dispositivi siano a rischio.
Nelle intrusioni più avanzate, gli attaccanti avrebbero intercettato gli hash di autenticazione delle VPN SSL, che poi sono stati sottoposti al cracking mediante un cluster dedicato, il quale era composto da ben 45 GPU. Successivamente si sono mossi lateralmente all’interno delle infrastrutture compromesse e hanno raggiunto gli ambienti Active Directory.
Tra le organizzazioni coinvolte figurano grandi aziende come Samsung e Oracle. Diachenko avrebbe confermato compromissioni di reti in Giappone, Taiwan, Vietnam, Iraq e Turchia, inclusa la compromissione di un appaltatore della difesa turco collegato alla NATO, dove sarebbero stati sottratti documenti classificati.
Gli esperti raccomandano chi utilizza i dispositivi Fortinet di procedere immediatamente al reset di tutte le credenziali amministrative e VPN, oltre ad attivare l’autenticazione multifattore (MFA), limitare l’accesso alle sole interfacce di gestione e segmentare le reti interne oltre che verificare attentamente i log di accesso per analizzare eventuali attività anomale.
📢 Resta aggiornatoTi è piaciuto questo articolo? Rimani sempre informato seguendoci su Google Discover (scorri in basso e clicca segui) e su 🔔 Google News. Ne stiamo anche discutendo sui nostri social: 💼 LinkedIn, 📘 Facebook e 📸 Instagram. Hai una notizia o un approfondimento da segnalarci? ✉️ Scrivici
Carolina Vivianti è consulente/Advisor autonomo in sicurezza informatica con esperienza nel settore tech e security. Ha lavorato come Security Advisor per Ford EU/Ford Motor Company e Vodafone e ha studi presso la Sapienza Università di Roma.
Aree di competenza:Cybersecurity, IT Risk Management, Security Advisory, Threat Analysis, Data Protection, Cloud Security, Compliance & Governance
Betti RHC, la prima graphic novel al mondo dedicata alla cybersecurity awareness, ha finalmente il suo sito ufficiale. Uno spazio tutto suo dove scoprire il progetto, sfogliare le copertine degli episodi e immergersi nel mondo di Betti: la giovane laureanda in informatica che, dopo la morte misteriosa del padre, si trasforma nell'hacker più potente del mondo. Una storia avvincente che, episodio dopo episodio, affronta una minaccia digitale diversa — dal phishing al ransomware, fino al cyberbullismo — e insegna a riconoscerla e a difendersi, senza che sembri mai una lezione.
Sul sito trovate tutto ciò che rende Betti un progetto diverso dal solito: la sua filosofia, le anteprime delle tavole e il racconto di come nasce ogni volume. Perché dietro Betti RHC c'è solo lavoro umano: ogni tavola è disegnata interamente a mano dagli artisti del Gruppo Arte di Red Hot Cyber, senza alcun uso di intelligenza artificiale. E a garantire che ogni storia sia realistica e tecnicamente corretta c'è la supervisione degli hacker etici del gruppo HackerHood, che mantengono il racconto fedele al mondo reale della sicurezza informatica.
C'è spazio anche per le aziende, che possono usare Betti come strumento di awareness diverso dai soliti corsi: acquistare i volumi, personalizzarli con il proprio brand o sponsorizzare nuovi episodi. E come primo regalo, l'episodio "Byte the Silence", dedicato al cyberbullismo, è scaricabile gratuitamente per uso personale.