Operacija Fortibleed: otkriveni kompromitovani Fortinet uređaji na srpskim mrežama
Kampanja Fortibleed kompromitovala je 75.000 Fortinet uređaja; pronađeni su uređaji na srpskim mrežama.
SrbijaŠta se desilo?
Istraživač Volodymyr Diachenko je pronašao otvoren server sa kriminalnim podacima vezanim za globalnu kampanju kompromitacije Fortinet uređaja pod nazivom Fortibleed. U bazi se nalaze pristupne kredencijali i konfiguracijski fajlovi za oko 75.000 uređaja, među kojima se nalaze najmanje dva Fortinet rutera povezana sa srpskim mrežama, uključujući domenu @a1.rs.
Koga pogađa?
Primarno pogađa sve vlasnike Fortinet uređaja - od malih biznisa do većih IT infrastruktura. U slučaju Srbije, istraživanje pokazuje da su potencijalno pogođeni Fortinet uređaji dostupni kroz IP opsege povezane sa A1 mrežom, kao i uređaji iz biznis segmenta. Rizik je posebno veliki jer napadi iskorišćavaju kompromitovane kredencijale za ransomware kampanje.
Kako se zaštititi?
- Odmah proverite da li su vaši Fortinet uređaji na listi kompromitovanih kroz alat Hudson Rock (hudsonrock.com/fortinet)
- Promenite sve administrativne lozinke na Fortinet uređajima ako nisu promenjene duže vreme
- Ažurirajte Fortinet firmware na najnoviju verziju koja je dostupna
- Omogućite multi-faktor autentifikaciju na svim administrativnim nalozima
- Monitorujte pristupe i sumnjive aktivnosti u logovima uređaja
- Proverite konfiguraciju i uklonite sve neovlašćene pristupne tunele ili vpn konekcije
Tehnički detalji
Kampanja Fortibleed vezana je za aktivnost koje je verovatno povezane sa ruskom kriminalnom grupom. Pronađeni podaci sadrže pored kredencijala i detaljne konfiguracijske fajlove koji omogućavaju napadačima kompletan uvid u mrežnu strukturu. Otkriveni podaci sa informacijama o prihodima ciljanih kompanija što sugeriše da se koriste za ransomware kampanje. Za srpski kontekst, analiza pokazuje da se dva pronađena uređaja najverovatnije ne odnose direktno na A1 kompaniju već na bizniske korisnike na njihovim mrežama.
Preporuka Sajber Radara
Hitno proverite status vaših Fortinet sistema kroz besplatne alate i odmah preduzimite mere zaštite. Ova kampanja predstavlja ozbiljan rizik jer su napadači već u posedu kredencijala - čekanje može biti skupo.