Een van de grootste blootgelegde verzamelingen bedrijfsinloggegevens van de afgelopen jaren zet duizenden organisaties onder druk. Onderzoekers ontdekten dat aanvallers toegang hebben verkregen tot tienduizenden Fortinet-systemen en daarbij een omvangrijke database met werkende inloggegevens hebben opgebouwd.
Onder de getroffen organisaties bevinden zich onder meer Oracle, Lenovo, FedEx en zelfs Fortinet zelf, schrijft Ars Technica. De ontdekking komt van beveiligingsonderzoeker Bob Diachenko van SecurityDiscovery.com. Hij wist toegang te krijgen tot infrastructuur die door de aanvallers werd gebruikt en trof daar gegevens aan van bijna 74.000 gecompromitteerde Fortinet-apparaten, verspreid over 194 landen. Volgens Diachenko bevatten de bestanden niet alleen gebruikersnamen en wachtwoorden, maar ook aanvullende informatie over de getroffen organisaties, zoals branche, omzet en personeelsomvang.
Toegang tot kernsystemen
De impact lijkt verder te reiken dan alleen de getroffen firewalls. De onafhankelijke onderzoeker Kevin Beaumont meldt dat veel van de gecompromitteerde systemen nog steeds online zijn en dat de buitgemaakte inloggegevens in meerdere gevallen actueel blijken te zijn. Nadat aanvallers toegang kregen tot Fortinet-apparatuur, zouden zij regelmatig zijn doorgedrongen tot centrale authenticatiesystemen zoals Microsoft Active Directory en Radius-servers.
Beveiligingsbedrijf Hudson Rock, dat eveneens onderzoek deed naar de dataset, spreekt van een uitzonderlijke situatie. Volgens het bedrijf hebben de aanvallers een geverifieerde verzameling werkende bedrijfscredentials opgebouwd die toegang kan bieden tot enkele van de grootste ondernemingen ter wereld.
De lijst met getroffen partijen omvat naast Oracle, Lenovo en FedEx ook Foxconn, Samsung, Comcast, Siemens, PwC en Accenture. Daarnaast zijn volgens Hudson Rock diverse overheidsorganisaties en aanbieders van kritieke infrastructuur in de dataset terug te vinden.
Bijzonder gevoelig is de melding dat een Turkse defensieaannemer die voor de NAVO werkt slachtoffer zou zijn geworden van een volledige netwerkinbraak. Onderzoekers stellen dat daarbij vertrouwelijke defensiedocumenten zijn buitgemaakt.
Geautomatiseerde aanval
Volgens de onderzoekers begon de operatie met grootschalige scans naar publiek toegankelijke FortiGate-systemen. De aanvallers gebruikten vervolgens een geautomatiseerd platform dat enorme aantallen gebruikersnaam- en wachtwoordcombinaties kon uitproberen. Zodra toegang werd verkregen, onderschepten zij authenticatiegegevens van VPN-verbindingen.
Hudson Rock stelt dat de groep hiervoor een speciaal GPU-cluster inzette om versleutelde authenticatiehashes te kraken. Daarbij werd gebruikgemaakt van een zelflerende aanpak waarbij eerder gekraakte wachtwoorden werden gebruikt om nieuwe wachtwoordvarianten te genereren. Hierdoor werd het systeem gaandeweg effectiever.
Opvallend genoeg maakten de aanvallers volgens Diachenko fouten in hun eigen operationele beveiliging. Daardoor konden onderzoekers inzicht krijgen in de gebruikte infrastructuur en de omvang van de operatie vaststellen.
Diachenko, Beaumont en Hudson Rock roepen organisaties die Fortinet-firewalls gebruiken op om hun omgeving onmiddellijk te controleren op ongeautoriseerde toegang. Gezien de omvang van de buitgemaakte dataset bestaat volgens hen het risico dat de gegevens inmiddels ook door andere cybercriminelen worden gebruikt.