FortiBleed kimlik doğrulama toplama kampanyasının arkasındaki hackerlar, Birleşik Krallık Dışişleri, Milletler Topluluğu ve Kalkınma Ofisi (FCDO) çalışanlarına ait giriş bilgilerini çaldılar; ele salınan hesaplar şimdi yerel belediyeler ve kritik altyapı kuruluşlarının kimlik bilgileriyle birlikte karanlık web pazar yerlerinde reklam ediliyor.

 

 

Kampanya, önceki veri ihlallerinde sızdırılmış kullanıcı adları ve şifrelere karşı kimlik bilgileri doldurma ve kaba kuvvet saldırıları kullanarak internete açık Fortinet güvenlik duvarlarını ve VPN geçitlerini hedefliyor. Saldırganlar, yeni bir yazılım açığını kullanmak yerine, tekrar edilen kimlik bilgilerini sürekli test ediyor ve aynı şifreleri kullanan hesapları bulana kadar kullanıyor.

Araştırmacılara göre, operasyon 194 ülkedeki kuruluşlardan 30.000’den fazla doğrulanmış Fortinet kimlik belgesi topladı. Güvenlik firması SOCRadar, saldırganların sürekli güncellenen çalışan kullanıcı adları ve şifrelerden oluşan bir veritabanı oluşturduğunu ve bunların artık diğer siber suçlulara satıldığını söyledi.

Birleşik Krallık mağdurları arasında, Tayland ve Mauritius’taki İngiliz diplomatik misyonlarında görevli Dışişleri Bakanlığı personeli ile Derbyshire İl Konseyi ve Waltham Orman Konseyi’nden çalışanlar da var. Araştırmacılar, geçerli VPN kimlik bilgilerinin saldırganların uzaktan dahili kurumsal ağlara erişmesini, yeni yönetici hesapları oluşturmasını, güvenlik duvarı yapılandırmalarını değiştirmesini ve uzun vadeli kalıcılık kurmasını sağlayabileceği konusunda uyarıda bulunuyor.

İhlal devlet kurumlarının ötesine uzanıyor. Soruşturmacılar, çalınan veri setinde NHS kuruluşları, enerji sağlayıcıları, ilaç tedarikçileri ve diğer kritik altyapı operatörleriyle bağlantılı kimlik bilgilerinin de yer aldığını, bu da fidye yazılımı gruplarının erişimi satın alıp takip saldırıları başlatmak için kullanabileceği endişelerini artırdığını söylüyor.

Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC), Fortinet güvenlik duvarları ve VPN cihazları kullanan kuruluşların devam eden küresel kampanyada hedef alındığını doğruladı. Ajans, yöneticileri tekrar kullanılan veya varsayılan şifreleri derhal sıfırlamaya, şüpheli faaliyetler için kimlik doğrulama kayıtlarını denetlemeye, mümkün olduğunda çok faktörlü kimlik doğrulamayı etkinleştirmeye ve sistemleri yetkisiz hesaplar veya yapılandırma değişiklikleri için incelemeye çağırıyor.

Araştırmacılar, kötü amaçlı yazılım ve altyapının bazı bölümlerinde Rusça unsurlar içerdiğini söylese de, kampanyayı doğrudan Rus hükümetiyle ilişkilendiren kamuya açık bir kanıt yok. Güvenlik uzmanları, Rusça konuşan siber suç gruplarının sıklıkla bağımsız faaliyet gösterdiğini, teknik göstergelerin ötesinde istihbarat olmadan attıfın yapılmasını zorlaştırdığını belirtiyor.

Bir Cevap Yazın