Gli hacker dietro la campagna di raccolta credenziali FortiBleed hanno rubato le credenziali di accesso appartenenti ai dipendenti del Foreign, Commonwealth and Development Office (FCDO) del Regno Unito, e gli account compromessi vengono ora pubblicizzati sui marketplace del dark web insieme a credenziali di comuni locali e organizzazioni di infrastrutture critiche.

 

 

La campagna prende di mira firewall Fortinet e gateway VPN rivolti a internet utilizzando credential stuffing e attacchi di forza bruta contro nomi utente e password trapepati in precedenti violazioni dati. Invece di sfruttare una nuova vulnerabilità software, gli attaccanti testano continuamente le credenziali riciclate finché non trovano account che utilizzano ancora le stesse password.

Secondo i ricercatori, l’operazione ha raccolto più di 30.000 credenziali Fortinet verificate da organizzazioni di 194 paesi. La società di sicurezza SOCRadar ha dichiarato che gli aggressori hanno costruito un database aggiornato continuamente di nomi utente e password funzionanti, che ora vengono venduti ad altri criminali informatici.

Tra le vittime del Regno Unito vi sono presumibilmente personale del Foreign Office di stanza presso missioni diplomatiche britanniche in Thailandia e Mauritius, oltre a dipendenti del Derbyshire County Council e del Waltham Forest Council. I ricercatori avvertono che credenziali VPN valide potrebbero permettere agli attaccanti di accedere remotamente alle reti interne aziendali, creare nuovi account amministratori, modificare configurazioni del firewall e stabilire una persistenza a lungo termine.

La violazione si estende oltre le agenzie governative. Gli investigatori affermano che credenziali legate a organizzazioni NHS, fornitori di energia, fornitori farmaceutici e altri operatori di infrastrutture critiche sono apparse anche nel dataset rubato, sollevando preoccupazioni che gruppi ransomware possano acquistare l’accesso e usarlo per lanciare attacchi successivi.

Il National Cyber Security Centre (NCSC) del Regno Unito ha confermato che le organizzazioni che utilizzano firewall Fortinet e dispositivi VPN sono oggetto di mira in una campagna globale in corso. L’agenzia esorta gli amministratori a resettare immediatamente le password riutilizzate o predefinite, a controllare i log di autenticazione per attività sospette, abilitare l’autenticazione multi-fattore quando possibile e a esaminare i sistemi per account non autorizzati o modifiche di configurazione.

Sebbene i ricercatori affermino che alcune parti del malware e delle infrastrutture contengono elementi in lingua russa, attualmente non ci sono prove pubbliche che colleghino direttamente la campagna al governo russo. Gli esperti di sicurezza avvertono che i gruppi di cybercriminali di lingua russa operano spesso in modo indipendente, rendendo difficile l’attribuzione senza informazioni oltre agli indicatori tecnici.

Lascia un Commento