Hackers achter de FortiBleed-campagne voor het verzamelen van inloggegevens hebben inloggegevens gestolen van medewerkers van het Britse Foreign, Commonwealth and Development Office (FCDO), waarbij de gecompromitteerde accounts nu worden geadverteerd op dark web-marktplaatsen samen met inloggegevens van lokale overheden en organisaties voor kritieke infrastructuur.
De campagne richt zich op internetgerichte Fortinet-firewalls en VPN-gateways door gebruik te maken van credential stuffing en brute-force aanvallen op gebruikersnamen en wachtwoorden die bij eerdere datalekken zijn gelekt. In plaats van een nieuwe softwarelek te exploiteren, testen de aanvallers continu gerecycled inloggegevens totdat ze accounts vinden die nog steeds dezelfde wachtwoorden gebruiken.
Volgens onderzoekers heeft de operatie meer dan 30.000 geverifieerde Fortinet-credentials verzameld van organisaties in 194 landen. Beveiligingsbedrijf SOCRadar zei dat de aanvallers een continu bijgewerkte database hebben opgebouwd met werkende gebruikersnamen en wachtwoorden, die nu aan andere cybercriminelen worden verkocht.
Onder de Britse slachtoffers bevinden zich naar verluidt medewerkers van het Foreign Office die gestationeerd zijn bij Britse diplomatieke missies in Thailand en Mauritius, evenals medewerkers van de Derbyshire County Council en de Waltham Forest Council. Onderzoekers waarschuwen dat geldige VPN-inloggegevens aanvallers in staat kunnen stellen om op afstand toegang te krijgen tot interne bedrijfsnetwerken, nieuwe beheerdersaccounts aan te maken, firewallconfiguraties aan te passen en langdurige persistentie te vestigen.
De inbreuk reikt verder dan overheidsinstanties. Onderzoekers zeggen dat ook inloggegevens die gekoppeld zijn aan NHS-organisaties, energieleveranciers, farmaceutische leveranciers en andere exploitanten van kritieke infrastructuur in de gestolen dataset zijn verschenen, wat zorgen oproept dat ransomwaregroepen de toegang zouden kunnen kopen en gebruiken om vervolgaanvallen uit te voeren.
Het National Cyber Security Centre (NCSC) van het Verenigd Koninkrijk heeft bevestigd dat organisaties die Fortinet-firewalls en VPN-apparaten gebruiken, worden aangepakt in een lopende wereldwijde campagne. De instantie dringt er bij beheerders op aan om onmiddellijk hergebruikte of standaardwachtwoorden te resetten, authenticatielogboeken te controleren op verdachte activiteiten, multi-factor authenticatie waar mogelijk in te schakelen en systemen te controleren op ongeautoriseerde accounts of configuratiewijzigingen.
Hoewel onderzoekers zeggen dat delen van de malware en infrastructuur Russischtalige elementen bevatten, is er momenteel geen openbaar bewijs dat de campagne direct aan de Russische overheid koppelt. Beveiligingsexperts waarschuwen dat Russischtalige cybercriminele groepen vaak onafhankelijk opereren, waardoor toewijzing moeilijk wordt zonder inlichtingen buiten de technische indicatoren.