FortiBleed؛ سرقت گسترده رمزهای عبور از FortiGate

شرکت SOCRadar جزئیات جدیدی را از کمپین FortiBleed منتشر کرده است. این کمپین فایروال‌های FortiGate را در مقیاس جهانی هدف گرفته و به مهاجمان امکان داده است اطلاعات احراز هویت کاربران، مدیران شبکه و سرویس‌های سازمانی را جمع‌آوری کنند.

پژوهشگران SOCRadar اعلام کردند عاملان این عملیات حداقل از فوریه ۲۰۲۶ فعالیت خود را آغاز کرده‌اند. این گروه در این مدت بیش از ۴۳۰ هزار فایروال FortiGate را اسکن کرده و تلاش کرده است به شبکه‌های سازمانی دسترسی پیدا کند.

SOCRadar پیش‌تر نیز مجموعه‌ای از اطلاعات VPN مرتبط با بیش از ۸۰ هزار آدرس FortiGate را شناسایی کرده بود. یافته‌های جدید نشان می‌دهد مهاجمان همچنان دامنه عملیات خود را گسترش می‌دهند و به‌صورت مداوم تجهیزات جدیدی را زیر نظر می‌گیرند.

مهاجمان چگونه به FortiGate نفوذ می‌کنند؟

تحلیلگران SOCRadar معتقدند عاملان FortiBleed در نقش Initial Access Broker یا IAB فعالیت می‌کنند. این گروه‌ها ابتدا به زیرساخت سازمان‌ها نفوذ می‌کنند و سپس دسترسی‌های به‌دست‌آمده را به سایر بازیگران تهدید، گروه‌های باج‌افزاری یا مجرمان سایبری می‌فروشند.

مهاجمان برای ورود به شبکه‌ها از Credential Stuffing، حملات Brute Force، اعتبارنامه‌های افشاشده و رمزهای عبور ضعیف استفاده می‌کنند. پس از نفوذ به حساب‌های مدیریتی، آن‌ها کنترل فایروال را در اختیار می‌گیرند و عملیات جمع‌آوری اطلاعات را آغاز می‌کنند.

FortigateSniffer در قلب عملیات FortiBleed قرار دارد

پژوهشگران SOCRadar هنگام بررسی زیرساخت مهاجمان به ابزاری مبتنی بر زبان Go رسیدند که نام FortigateSniffer را روی آن گذاشته‌اند.

این ابزار از طریق SSH به دستگاه‌های FortiGate متصل می‌شود و دستور diagnose sniffer packet را اجرا می‌کند. مدیران شبکه معمولاً از این دستور برای بررسی مشکلات ارتباطی، تحلیل ترافیک و عیب‌یابی خطاهای احراز هویت استفاده می‌کنند.

مهاجمان همین قابلیت را به ابزاری برای جاسوسی شبکه تبدیل کرده‌اند. آن‌ها ترافیک عبوری از فایروال را رهگیری می‌کنند و داده‌های حساس را از دل ارتباطات سازمانی استخراج می‌کنند.

به گفته SOCRadar، FortigateSniffer هم‌زمان ۲۴ پروتکل مختلف را زیر نظر می‌گیرد و اطلاعات احراز هویت را از جریان ترافیک جدا می‌کند.

FortiBleed چه اطلاعاتی را جمع‌آوری می‌کند؟

مهاجمان در این عملیات روی پروتکل‌ها و سرویس‌های پرکاربرد سازمانی تمرکز می‌کنند. Kerberos، LDAP، NTLM، RADIUS، SMB، RDP، WinRM، Microsoft SQL Server، MySQL، PostgreSQL، SMTP، IMAP، POP3، FTP و Telnet در فهرست اهداف قرار دارند.

ابزار FortigateSniffer ترافیک این سرویس‌ها را رهگیری می‌کند. سپس ابزار SNIFTRAN بسته‌های شبکه را کنار هم قرار می‌دهد و فایل‌های PCAP را ایجاد می‌کند.

در مرحله بعد، مهاجمان از ابزار PCAP Deep Analysis Toolkit استفاده می‌کنند. این ابزار فایل‌های PCAP را بررسی می‌کند و اطلاعات ارزشمند را استخراج می‌کند.

تحلیلگران SOCRadar می‌گویند مهاجمان از این طریق به داده‌های زیر دسترسی پیدا می‌کنند:

  • نام کاربری و رمز عبور متنی

  • هش‌های NTLM

  • بلیت‌های Kerberos

  • اطلاعات احراز هویت RADIUS

  • اعتبارنامه‌های سرویس‌های ایمیل

  • اطلاعات ورود پایگاه‌های داده

  • سایر داده‌های مرتبط با احراز هویت کاربران

این ابزار همچنین فایل‌های سازگار با Hashcat تولید می‌کند و روند شکستن رمزهای عبور را سرعت می‌بخشد.

مهاجمان از ۳۶ پردازنده گرافیکی برای کرک رمزها استفاده کردند

کوین بومونت، پژوهشگر امنیت سایبری اعلام کرده مهاجمان احتمالاً علاوه بر رهگیری ترافیک، فایل‌های پیکربندی FortiGate را نیز دانلود کرده‌اند.

او می‌گوید این گروه هش‌های ذخیره‌شده در فایل‌های پیکربندی را استخراج کرده و سپس Hashcat را روی یک زیرساخت متشکل از ۳۶ پردازنده گرافیکی سازمانی اجرا کرده است.

بومونت همچنین ادعا می‌کند مهاجمان این منابع پردازشی را از یک شرکت فعال در حوزه هوش مصنوعی اجاره کرده‌اند. این زیرساخت به آن‌ها اجازه داده است حجم زیادی از هش‌های رمز عبور را در مدت کوتاهی آزمایش کنند.

آیا FortiBleed به یک آسیب‌پذیری جدید ارتباط دارد؟

شرکت Fortinet تاکنون هیچ آسیب‌پذیری جدیدی را در ارتباط با این کمپین معرفی نکرده است. این شرکت پیش‌تر اعلام کرد مهاجمان مجموعه‌ای از اعتبارنامه‌های افشاشده یا به‌خطر‌افتاده را جمع‌آوری کرده‌اند.

با این حال، یافته‌های SOCRadar نشان می‌دهد مهاجمان همچنان به فایروال‌های FortiGate نفوذ می‌کنند و پس از دستیابی به دسترسی مدیریتی، از قابلیت‌های داخلی FortiOS برای جمع‌آوری اطلاعات بیشتر بهره می‌برند.

سازمان‌ها چگونه از FortiGate محافظت کنند؟

کارشناسان امنیت سایبری از سازمان‌ها می‌خواهند احراز هویت چندعاملی را برای حساب‌های مدیریتی فعال کنند و رمزهای عبور ضعیف را کنار بگذارند.

مدیران شبکه باید دسترسی SSH را محدود کنند، فعالیت حساب‌های مدیریتی را زیر نظر بگیرند و اجرای غیرمنتظره دستور diagnose sniffer packet را بررسی کنند.

سازمان‌ها همچنین باید فایل‌های پیکربندی FortiGate را کنترل کنند، ارتباطات مشکوک را زیر نظر بگیرند و آخرین به‌روزرسانی‌های امنیتی Fortinet را نصب کنند.

جمع‌بندی

کمپین FortiBleed نشان می‌دهد مهاجمان برای سرقت اطلاعات سازمانی همیشه به آسیب‌پذیری‌های روز صفر نیاز ندارند. آن‌ها در این عملیات از رمزهای عبور ضعیف، اعتبارنامه‌های افشاشده و قابلیت‌های قانونی FortiOS استفاده کرده‌اند.

گزارش SOCRadar نشان می‌دهد مهاجمان پس از نفوذ به FortiGate ترافیک شبکه را رهگیری می‌کنند، اطلاعات احراز هویت را جمع‌آوری می‌کنند و سپس با کمک زیرساخت‌های قدرتمند GPU رمزهای عبور را کرک می‌کنند. به همین دلیل، سازمان‌ها باید امنیت حساب‌های مدیریتی و تجهیزات FortiGate را در اولویت قرار دهند.

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

3 + 17 =