Преди дни писахме, че FortiBleed показва един от най-важните уроци в съвременната киберсигурност: сложната парола не помага, когато вече е открадната. Сега темата вече има и политическо измерение.
Според The Telegraph хакери са използвали уязвимост във Fortinet firewall-и и са компрометирали над 80 хил. устройства по света. Сред засегнатите са имейл акаунти и пароли на служители в британската държавна администрация, включително представители на Foreign Office, работещи зад граница.
В публикацията се посочва, че достъпът до част от компрометираните акаунти вече се предлага в тъмната мрежа. Това увеличава риска от последващи атаки, защото един валиден логин рядко остава изолиран проблем. Той може да бъде използван за достъп до вътрешни системи, кореспонденция, административни панели, VPN връзки и партньорски среди.
Засегнати са и организации, свързани с критична инфраструктура, включително здравеопазване, енергетика и доставчици на услуги за медицинския сектор. Британският National Cyber Security Centre вече издаде предупреждение към организациите, които използват Fortinet firewalls и VPN gateways, с препоръка да предприемат незабавни мерки.
Важно уточнение: към момента няма потвърдени публични доказателства за директно участие на руска държава в атаката. Има съобщения за рускоезична престъпна група и за код, свързван с рускоезична среда, но това не е същото като доказана държавна операция.
Най-притеснителната част в случая не е само броят на засегнатите устройства. Проблемът е механизмът.
Когато служебни пароли се използват повторно, изтичат чрез infostealer malware или остават непроменени след стар пробив, те се превръщат в готов инструмент за атака. Нападателят не трябва да „разбива“ паролата. Той просто проверява дали тя още работи.
Точно това прави credential stuffing толкова опасен за VPN, firewall и remote access системи. Тези услуги са входната врата към организацията. При успешен логин нападателят вече не изглежда като външен нарушител, а като валиден потребител.
Оттам следващите стъпки могат да бъдат много по-сериозни: промяна на настройки, създаване на нови акаунти, заобикаляне на контроли, достъп до вътрешни ресурси и подготовка за ransomware атака.