Les pirates à l’origine de la campagne de collecte d’identifiants FortiBleed ont volé des identifiants de connexion appartenant aux employés du Foreign, Commonwealth and Development Office (FCDO) du Royaume-Uni, les comptes compromis étant désormais annoncés sur les marketplaces du dark web, ainsi que des identifiants provenant des collectivités locales et des organisations d’infrastructures critiques.

 

 

La campagne cible les pare-feux Fortinet et les passerelles VPN connectées à Internet en utilisant le stuffing des identifiants et des attaques par force brute contre des noms d’utilisateur et mots de passe divulgués lors de violations de données précédentes. Plutôt que d’exploiter une nouvelle vulnérabilité logicielle, les attaquants testent continuellement les identifiants recyclés jusqu’à trouver des comptes qui utilisent toujours les mêmes mots de passe.

Selon des chercheurs, l’opération a collecté plus de 30 000 identifiants Fortinet vérifiés auprès d’organisations dans 194 pays. La société de sécurité SOCRadar a indiqué que les attaquants ont construit une base de données continuellement mise à jour de noms d’utilisateur et de mots de passe fonctionnels, qui sont désormais vendus à d’autres cybercriminels.

Parmi les victimes britanniques figurent apparemment des membres du Foreign Office stationnés dans des missions diplomatiques britanniques en Thaïlande et à l’île Maurice, ainsi que des employés du Derbyshire County Council et du Waltham Forest Council. Les chercheurs avertissent que des identifiants VPN valides pourraient permettre aux attaquants d’accéder à distance aux réseaux internes d’entreprise, créer de nouveaux comptes administrateurs, modifier les configurations des pare-feux et établir une persistance à long terme.

La violation dépasse les agences gouvernementales. Les enquêteurs affirment que des identifiants liés à des organisations du NHS, des fournisseurs d’énergie, des fournisseurs pharmaceutiques et d’autres opérateurs d’infrastructures critiques sont également apparus dans l’ensemble de données volé, soulevant des inquiétudes quant à la possibilité que des groupes de ransomware puissent acheter l’accès et l’utiliser pour lancer des attaques ultérieures.

Le National Cyber Security Centre (NCSC) du Royaume-Uni a confirmé que des organisations utilisant des pare-feux Fortinet et des appareils VPN sont ciblées dans le cadre d’une campagne mondiale en cours. L’agence exhorte les administrateurs à réinitialiser immédiatement les mots de passe réutilisés ou par défaut, à auditer les journaux d’authentification pour toute activité suspecte, à activer l’authentification multifactorielle lorsque possible, et à examiner les systèmes pour détecter des comptes non autorisés ou des modifications de configuration.

Bien que les chercheurs affirment que certaines parties du malware et de l’infrastructure contiennent des éléments de langue russe, il n’existe actuellement aucune preuve publique liant directement la campagne au gouvernement russe. Les experts en sécurité avertissent que les groupes de cybercriminalité russophones opèrent fréquemment de manière indépendante, ce qui rend l’attribution difficile sans renseignements au-delà des indicateurs techniques.

Laisser un commentaire