Siber suçlular, dünya genelindeki büyük şirketler tarafından kullanılan on binlerce Fortinet güvenlik duvarı ve VPN’i tehlikeye attı.
Devam eden bu yaygın hackleme kampanyası, “FortiBleed” adıyla anılıyor. Hedef alınan cihazlardaki bilinmeyen bir güvenlik açığını kullanmaktan ziyade daha temel bir soruna dayanıyor: Şirketlerin güvenlik duvarı şifrelerini değiştirmemesi ya da internet üzerinde hassas sistemler için kullandıkları kimlik bilgilerini siber suçluların zaten bilip bilmediğinin kontrol edilmemesi.
Bu kampanyada, saldırganlar önce otomatik araçlar kullanarak interneti tarıyor ve açıkta olan Fortinet güvenlik duvarları ile VPN’leri buluyor. Daha sonra, önceden bilinen şifreler listesi sayesinde bu cihazlara erişim sağlıyorlar. Bu aşamada siber suçlular, mağdur şirketlerden daha hassas verileri çalabiliyor. Siber güvenlik şirketleri Hudson Rock ve SOCRadar, bu hafta yayımladıkları raporlarda bunu belirtti.
“Bir cihaz tehlikeye girdiğinde, [saldırganlar] onu bir dinleme noktası olarak kullanıyor, geçen trafiği izliyor ve aradan geçen ek kimlik bilgilerini topluyor. Yeni toplanan bu şifreler, daha fazla cihazı tehlikeye atmak için tekrar tarayıcıya besleniyor. Sistem kendini besliyor,” diye yazdı SOCRadar.
Fortinet sözcüsü Tiffany Curci, TechCrunch’a yaptığı açıklamada, şirketin “Fortinet güvenlik duvarları ve VPN geçitlerine yönelik bildirilen üçüncü parti kimlik bilgisi toplama kampanyasından haberdar olduğunu” belirtti. Fortinet, şirketin analizine dayanarak, ilgili verilerin “önceki olaylardan yeniden paylaşım ve kimlik bilgileri üzerinde brute-force (kaba kuvvet) saldırılarından oluştuğunu ve son olaylarla veya uyarılarla ilgili olmadığını” söyledi.
Hudson Rock, 73,000’den fazla benzersiz Fortinet URL’sinin hacklendiğine dair kanıt bulduğunu belirtirken, SOCRadar hacklenen cihaz sayısının 30,000’i aştığını ifade etti.
Hacklenen şirketler arasında şunlar bulunuyor: Accenture, Comcast, Foxconn, Lenovo, Oracle, Samsung, Siemens ve PwC.
Lenovo sözcüsü, TechCrunch’ın yorum talebini aldıklarını doğruladı ancak yanıt vermedi. Diğer şirketlerden de herhangi bir yanıt alınamadı.
Hem Hudson Rock hem de SOCRadar’a göre, en fazla etkilenen ülkeler Hindistan, ABD, Tayvan ve Meksika. Ancak her iki şirket de dünyada birçok mağdur olduğunu belirtiyor. Sektörler arasında, en çok etkilenenler bilgi teknolojisi hizmetleri, inşaat malzemeleri ve telekomünikasyon. SOCRadar’a göre, devlet kurumları da mağdurlar arasında yer alıyor. Her iki siber güvenlik şirketi, hackleme kampanyasının arkasındaki grubun Rusça konuşan kişiler olduğunu tahmin ediyor.
Hudson Rock ve SOCRadar’ın raporları, Fortinet cihazları ve ilişkili şirketler için bir kimlik bilgileri listesinin keşfine dayanıyor. Bu hackleme kampanyası, güvenlik araştırmacısı Bob Diachenko tarafından hafta sonu ilk kez bildirildi. Bağımsız siber güvenlik araştırmacısı Kevin Beaumont, veri analizi yaparak verilerin “geçerli” olduğunu doğruladığını açıkladı.
Son yıllarda, birkaç hackleme kampanyası Fortinet cihazlarına saldırarak bunları tehlikeye attı; genelde bu sistemlerdeki güvenlik açıklarını sfrakat ediyor. Ancak bu durumda, saldırganlar sızdırılan şifrelere dayanıyor; bu da daha basit ve daha az karmaşık bir saldırı şekli oluyor.
Fortinet’ten gelen yorumlarla güncellendi.
Makalemizdeki bağlantılar aracılığıyla yapacağınız alışverişlerde küçük bir komisyon kazanabiliriz. Bu, editoryal bağımsızlığımızı etkilemez.
