نفوذ گسترده به دهها هزار فایروال Fortinet در سراسر جهان؛ هکرها از رمزهای عبور افشاشده سوءاستفاده کردند
دو شرکت امنیت سایبری از اجرای یک کارزار گسترده هکری خبر دادهاند که طی آن دهها هزار فایروال و درگاه VPN شرکت Fortinet مورد نفوذ قرار گرفتهاند؛ تجهیزاتی که توسط بسیاری از شرکتهای بزرگ جهان مورد استفاده قرار میگیرند.
بر اساس گزارشهای منتشرشده از سوی شرکتهای امنیتی Hudson Rock و SOCRadar، این حملات که همچنان ادامه دارند و با نام «FortiBleed» شناخته میشوند، برخلاف بسیاری از حملات مشابه، متکی به بهرهبرداری از آسیبپذیریهای ناشناخته یا روز صفر نبودهاند. در عوض، مهاجمان از ضعفهای ابتدایی اما رایج در مدیریت امنیت سازمانی، از جمله استفاده از رمزهای عبور افشاشده یا عدم تغییر اعتبارنامههای قدیمی، سوءاستفاده کردهاند.
هک از طریق رمزهای عبور لو رفته
طبق یافتههای این دو شرکت، مهاجمان ابتدا با استفاده از ابزارهای خودکار، فایروالها و سرویسهای VPN شرکت Fortinet را که به اینترنت متصل هستند، شناسایی میکنند. سپس با تکیه بر فهرستهایی از نامهای کاربری و رمزهای عبور افشاشده در گذشته، موفق به ورود به این تجهیزات میشوند.
پس از نفوذ اولیه، هکرها به دادههای حساستر دسترسی پیدا کرده و اطلاعات بیشتری از سازمانهای قربانی جمعآوری میکنند.
شرکت SOCRadar در گزارش خود توضیح داده است که مهاجمان پس از تسلط بر یک دستگاه، آن را به یک «ایستگاه شنود» تبدیل میکنند. این دستگاه ترافیک عبوری را زیر نظر میگیرد و هرگونه اطلاعات احراز هویت و رمز عبوری را که در شبکه جابهجا میشود، جمعآوری میکند. سپس این رمزهای تازهبهدستآمده برای نفوذ به دستگاهها و سازمانهای دیگر مورد استفاده قرار میگیرند.
به گفته SOCRadar، این فرایند به گونهای طراحی شده است که بهصورت خودکار خود را تقویت میکند و با هر نفوذ موفق، امکان گسترش بیشتر حملات را فراهم میسازد.
واکنش Fortinet
تیفانی کرسی، سخنگوی Fortinet، در گفتوگو با TechCrunch اعلام کرد این شرکت از گزارشهای مربوط به یک کارزار جمعآوری اعتبارنامهها که فایروالها و درگاههای VPN این شرکت را هدف قرار داده، آگاه است.
او تأکید کرد بررسیهای Fortinet نشان میدهد دادههای مورد استفاده در این حملات عمدتاً حاصل بازنشر اطلاعات مربوط به رخدادهای امنیتی گذشته و همچنین حملات حدس رمز عبور بوده و ارتباطی با هیچ حادثه یا هشدار امنیتی جدیدی در محصولات این شرکت ندارد.
بیش از ۷۳ هزار دستگاه در معرض نفوذ
برآوردهای منتشرشده از سوی دو شرکت امنیتی درباره ابعاد این کارزار تا حدی متفاوت است.
Hudson Rock اعلام کرده است شواهدی در اختیار دارد که نشان میدهد بیش از ۷۳ هزار آدرس اینترنتی منحصربهفرد مرتبط با تجهیزات Fortinet مورد نفوذ قرار گرفتهاند. در مقابل، SOCRadar تعداد دستگاههای هکشده را بیش از ۳۰ هزار مورد برآورد کرده است.
نام شرکتهای بزرگ در میان قربانیان
بر اساس اطلاعات منتشرشده از سوی Hudson Rock، نام برخی از بزرگترین شرکتهای جهان در فهرست قربانیان احتمالی این حملات دیده میشود. از جمله این شرکتها میتوان به Accenture، Comcast، Foxconn، Lenovo، Oracle، Samsung، Siemens و PwC اشاره کرد.
در این میان، سخنگوی شرکت Lenovo دریافت درخواست رسانهها برای اظهارنظر درباره این موضوع را تأیید کرده است، اما پاسخی درباره جزئیات این حادثه ارائه نداده است. سایر شرکتهای نامبرده نیز تاکنون به درخواستهای رسانهای برای اظهارنظر پاسخ ندادهاند.
آمریکا، هند و تایوان در صدر کشورهای آسیبدیده
بر اساس گزارشهای Hudson Rock و SOCRadar، بیشترین تعداد دستگاههای آلوده در کشورهای هند، ایالات متحده، تایوان و مکزیک شناسایی شده است. با این حال، هر دو شرکت تأکید کردهاند که قربانیان این کارزار تقریباً در سراسر جهان پراکنده هستند.
از منظر صنعتی نیز بخشهای خدمات فناوری اطلاعات، تولید مصالح ساختمانی و مخابرات بیشترین آسیب را متحمل شدهاند. همچنین SOCRadar اعلام کرده است که برخی نهادهای دولتی نیز در میان قربانیان این حملات بودهاند.
ردپای احتمالی هکرهای روسزبان
هر دو شرکت امنیتی معتقدند شواهد موجود حاکی از آن است که گروه پشت این عملیات سایبری احتمالاً روسزبان است؛ هرچند تاکنون انتساب قطعی این حملات به یک گروه شناختهشده اعلام نشده است.
گزارشهای Hudson Rock و SOCRadar بر پایه کشف فهرستی از اطلاعات ورود مربوط به تجهیزات Fortinet و سازمانهای مرتبط با آنها تهیه شدهاند. این موضوع نخستین بار در آخر هفته گذشته توسط «باب دیاچنکو»، پژوهشگر امنیت سایبری، مطرح شد.
همچنین «کوین بومونت»، پژوهشگر مستقل امنیت سایبری، در یادداشتی که روز چهارشنبه منتشر کرد، اعلام کرد پس از بررسی دادههای منتشرشده، صحت آنها را تأیید کرده و این اطلاعات را معتبر دانسته است.
حملهای ساده اما مؤثر
در سالهای اخیر، چندین کارزار هکری بزرگ تجهیزات Fortinet را هدف قرار دادهاند که اغلب بر پایه سوءاستفاده از آسیبپذیریهای نرمافزاری این محصولات انجام شدهاند. با این حال، ویژگی متمایز FortiBleed در آن است که مهاجمان بدون نیاز به کشف یا بهرهبرداری از نقصهای فنی پیچیده، صرفاً با اتکا به رمزهای عبور افشاشده و ضعف در مدیریت اعتبارنامهها توانستهاند به هزاران دستگاه و سازمان در سراسر جهان نفوذ کنند.
این موضوع بار دیگر نشان میدهد که حتی سادهترین ضعفهای امنیتی، در صورت بیتوجهی سازمانها، میتوانند زمینهساز یکی از بزرگترین حملات سایبری در مقیاس جهانی شوند.
