Hacker hinter der FortiBleed-Kampagne zur Erfassung von Zugangsdaten haben Login-Daten von Mitarbeitern des britischen Foreign, Commonwealth and Development Office (FCDO) gestohlen, wobei die kompromittierten Konten nun auf Dark-Web-Marktplätzen zusammen mit Zugangsdaten von lokalen Kommunen und kritischen Infrastrukturorganisationen beworben werden.
Die Kampagne richtet sich gegen Internet-Firewalls von Fortinet und VPN-Gateways, indem sie Credential-Stuffing und Brute-Force-Angriffe gegen Benutzernamen und Passwörter einsetzt, die bei früheren Datenpannen geleakt wurden. Anstatt eine neue Software-Schwachstelle auszunutzen, testen die Angreifer kontinuierlich recycelte Zugangsdaten, bis sie Konten finden, die weiterhin dieselben Passwörter verwenden.
Laut Forschern hat die Operation mehr als 30.000 verifizierte Fortinet-Zertifikate von Organisationen in 194 Ländern gesammelt. Die Sicherheitsfirma SOCRadar sagte, die Angreifer hätten eine kontinuierlich aktualisierte Datenbank mit funktionierenden Benutzernamen und Passwörtern aufgebaut, die nun an andere Cyberkriminelle verkauft werden.
Zu den britischen Opfern zählen Berichten zufolge Mitarbeiter des Außenministeriums, die an britischen diplomatischen Vertretungen in Thailand und Mauritius stationiert sind, sowie Mitarbeiter des Derbyshire County Council und des Waltham Forest Council. Forscher warnen, dass gültige VPN-Zugangsdaten es Angreifern ermöglichen könnten, auf interne Unternehmensnetzwerke aus der Ferne zuzugreifen, neue Administratorkonten zu erstellen, Firewall-Konfigurationen zu ändern und langfristige Persistenz zu etablieren.
Der Bruch geht über Regierungsbehörden hinaus. Ermittler sagen, dass auch Zugangsdaten zu NHS-Organisationen, Energieversorgern, Pharmalieferanten und anderen Betreibern kritischer Infrastruktur im gestohlenen Datensatz aufgetaucht sind, was Bedenken auslöst, dass Ransomware-Gruppen den Zugang kaufen und für Folgeangriffe nutzen könnten.
Das National Cyber Security Centre (NCSC) des Vereinigten Königreichs hat bestätigt, dass Organisationen, die Fortinet-Firewalls und VPN-Geräte nutzen, in einer laufenden globalen Kampagne ins Visier genommen werden. Die Behörde fordert die Administratoren auf, wiederverwendete oder standardmäßige Passwörter sofort zurückzusetzen, Authentifizierungsprotokolle auf verdächtige Aktivitäten zu überprüfen, wo möglich Mehrfaktor-Authentifizierung zu aktivieren und Systeme auf unbefugte Konten oder Konfigurationsänderungen zu überprüfen.
Obwohl Forscher sagen, dass Teile der Malware und Infrastruktur russischsprachige Elemente enthalten, gibt es derzeit keine öffentlichen Beweise, die die Kampagne direkt mit der russischen Regierung in Verbindung bringen. Sicherheitsexperten warnen, dass russischsprachige Cyberkriminelle Gruppen häufig unabhängig agieren, was die Zuschreibung ohne Informationen über die technischen Indikatoren hinaus erschwert.
