Nội dung bài viết
Những người bị ảnh hưởng bao gồm Oracle, Lenovo, FedEx, một nhà thầu của NATO và Fortinet.
Các nhà nghiên cứu đã phát hiện ra một lỗ hổng lớn đối với tường lửa của Fortinet, cho phép những kẻ tấn công nói tiếng Nga có quyền truy cập gần như không hạn chế vào một số tổ chức lớn nhất và quyền lực nhất thế giới, bao gồm Oracle, Chevron, Lenovo, Federal Express, một nhà thầu quốc phòng của NATO và chính Fortinet.
Bob Diachenko, nhà nghiên cứu bảo mật và người đứng đầu SecurityDiscovery.com, cho biết gần 74.000 thiết bị Fortinet từ hơn 21.000 địa chỉ IP ở 194 quốc gia đã bị xâm phạm và thông tin xác thực văn bản gốc của chúng bị lộ trực tuyến.
Ông cho biết ông đã tìm thấy dữ liệu sau khi giành được quyền truy cập vào máy chủ chỉ huy và kiểm soát cũng như cơ sở hạ tầng khác của kẻ tấn công. Dữ liệu bị lộ cũng bao gồm ngành, doanh thu và số lượng nhân viên của từng tổ chức bị xâm nhập.
Nhà nghiên cứu độc lập Kevin Beaumont báo cáo rằng “gần như tất cả” các thiết bị bị xâm nhập vẫn trực tuyến kể từ sáng thứ Tư. Anh ấy tiếp tục nói rằng anh ấy đã xác nhận với nhiều tổ chức được tìm thấy trong nhật ký của những kẻ tấn công rằng thông tin xác thực là có thật và hiện hành.
Trong nhiều trường hợp, một khi kẻ đe dọa đã xâm nhập được vào thiết bị, chúng sẽ truy cập vào hệ thống xác thực tập trung của các tổ chức bị ảnh hưởng, chẳng hạn như máy chủ Radius và Microsoft Active Directory.
Số lượng thiết bị bị xâm nhập bao gồm khoảng một nửa tổng số tường lửa Fortinet kết nối Internet, dựa trên cuộc thăm dò ý kiến từ Shodan.
Các nhà nghiên cứu từ Hudson Rock, một công ty bảo mật cũng phân tích dữ liệu, viết: “Quy mô của vi phạm này chạm đến hầu hết mọi lĩnh vực của nền kinh tế toàn cầu, không ngoại trừ ngành nào”.
“Các tác nhân đe dọa đã xây dựng cơ sở dữ liệu đã được xác minh về thông tin xác thực hoạt động cho một số doanh nghiệp lớn nhất hành tinh.” Diachenko, Beaumont và Hudson Rock đều kêu gọi người dùng Fortinet điều tra mạng của họ ngay lập tức để tìm dấu hiệu xâm phạm.
Hudson Rock đã cung cấp công cụ tìm kiếm này để định vị các miền bị ảnh hưởng. Quy mô của hoạt động là đặc biệt.
Tác nhân đe dọa, mà Diachenko cho biết có động cơ tội phạm, bắt đầu bằng cách quét hàng loạt Internet để tìm các điểm cuối đăng nhập từ xa FortiGate.
Sau đó, họ sử dụng một tệp nhị phân tùy chỉnh với 25.000 luồng để gửi hàng trăm nghìn điểm cuối đó với hàng nghìn tổ hợp thông tin đăng nhập và mật khẩu. Những nỗ lực thành công giờ đây đã mang lại cho những kẻ tấn công một “chạm vào mạng bên trong tổ chức”.
đá Hudson cho biết những kẻ tấn công đã tiếp tục “tích cực chặn các hàm băm xác thực SSL VPN và bẻ khóa chúng bằng cách sử dụng cụm 45 GPU chuyên dụng, khổng lồ được quản lý thông qua Hashtopolis.” Từ đó, họ sử dụng cụm GPU để bẻ khóa các hàm băm, nghĩa là thử kết hợp nhiều mật khẩu văn bản thuần túy cho đến khi tìm được mật khẩu phù hợp.
Những mật khẩu này cho phép các tác nhân đe dọa di chuyển theo chiều ngang để xâm phạm môi trường Active Directory và các hệ thống xác thực tập trung khác. Hudson Rock nói: “Phương pháp hung hăng này đã dẫn đến những hậu quả nghiêm trọng trong thế giới thực.
"Nghiên cứu của Diachenko đã xác nhận sự xâm phạm toàn bộ mạng lưới tại nhiều tổ chức trên khắp Nhật Bản, Đài Loan, Việt Nam, Iraq và Thổ Nhĩ Kỳ.
Đáng báo động nhất, điều này bao gồm cả một nhà thầu quốc phòng NATO của Thổ Nhĩ Kỳ mà các tài liệu quốc phòng mật đã bị nhóm này lấy cắp thành công." Trong cuộc phỏng vấn, Diachenko trình bày ngắn gọn hơn. Ông nói: “Quy mô là sự phức tạp.
Quy mô không dừng lại ở đó. Những kẻ tấn công đã sử dụng cụm lớn để chạy “hệ thống đệ quy 12 cấp dựa trên phản hồi”.
Nói cách khác, không có một từ điển phẳng nào được chạy. Các đề xuất mật khẩu đến từ các từ điển tùy chỉnh có tối đa tám từ, comm về các mẫu bàn phím và các quy tắc bẻ khóa.
Mỗi cái lặp lại theo từng bước. Khi dự đoán thành công, mật khẩu sẽ được phản hồi dưới dạng hạt giống để tạo ra nhiều ứng viên hơn.
Nói cách khác, kỹ thuật bẻ khóa được cải thiện sau mỗi lần đoán thành công. Nhà nghiên cứu cho biết: “Họ khá sáng tạo về điều đó”.
Sự đổi mới này trái ngược hoàn toàn với khả năng bảo mật hoạt động của những kẻ tấn công, những kẻ đã để lại các hiện vật trên máy chủ mà chúng sử dụng. Trong giới hacker, những động thái như vậy được coi là sai lầm nghiệp dư.
Hudson Rock cho biết các quốc gia hàng đầu có thiết bị bị xâm nhập là Ấn Độ, Mỹ, Đài Loan, Mexico, Thổ Nhĩ Kỳ và Thái Lan. Các ngành bị ảnh hưởng hàng đầu là dịch vụ CNTT, vật liệu xây dựng, viễn thông, xây dựng và kỹ thuật, thiết bị công nghiệp và dịch vụ tài chính.
Các tổ chức khác có dữ liệu xuất hiện trong cơ sở dữ liệu bao gồm: Foxconn, Samsung, Comcast, Siemens, PwC và Accenture. Hudson Rock cho biết cơ sở dữ liệu liệt kê hàng nghìn cơ sở khác, bao gồm các cơ quan chính phủ lớn và các nhà cung cấp cơ sở hạ tầng quan trọng.
Tường lửa từ lâu đã là điểm truy cập mạng ưa thích của tin tặc. Các thiết bị này chấp nhận kết nối từ Internet bên ngoài, ngồi một chỗ trong phạm vi của mạng và có quyền truy cập vào các tài nguyên có giá trị sâu bên trong.
Các liên kết ở trên liệt kê một số bước mà người dùng tường lửa Fortinet nên thực hiện để đảm bảo mạng của họ được an toàn. Cho rằng dữ liệu đã có sẵn cho tội phạm mạng và các tác nhân đe dọa tiềm tàng khác, như Diachenko, đã tìm thấy nó, thì rủi ro là rất lớn.
Ars Technica đã tách tín hiệu khỏi tiếng ồn trong hơn 25 năm. Với sự kết hợp độc đáo giữa hiểu biết về kỹ thuật và mối quan tâm sâu rộng đến nghệ thuật và khoa học công nghệ, Ars là nguồn đáng tin cậy trong biển thông tin.
Suy cho cùng, bạn không cần phải biết mọi thứ, chỉ cần biết những gì quan trọng.
Gợi ý thực hành:
1. Theo dõi thông báo từ cơ quan địa phương tại California.
2. Kiểm tra nguồn chính thức trước khi chia sẻ lại thông tin.