FortiBleed キャンペーンにより、英国政府アカウントを含むフォーティネットの認証情報が公開される

フォーティネットのセキュリティ製品を標的とした世界的なサイバー攻撃キャンペーン妥協した英国政府職員および一部の重要なサービスに関連付けられたログイン資格情報。このキャンペーンにより、インフラストラクチャの脆弱性やランサムウェア攻撃のリスクに関する懸念が高まっています。

セキュリティ研究者らは、今回の FortiBleed キャンペーンは、フォーティネット ファイアウォールをターゲットとした最大規模の資格情報盗難作戦の 1 つであると考えています。攻撃者は、新しいソフトウェアの脆弱性を特定する代わりに、盗んだパスワードを使用し、古いパスワードを再利用し、自動ログインを試行します。

英国政府と議会のアカウントが暴露される

テレグラフ紙が最初に掲載した報道によると、英国政府職員の資格情報が犯罪市場に出回っていることが明らかになった。伝えられるところによると、この盗まれたアクセスの一部は 60,000 ドルもの値で販売されています。

侵害されたアカウントには、タイとモーリシャスの英国大使館で働くITスタッフも含まれています。ダービーシャー市とウォルサム・フォレスト市議会の職員もこの攻撃の犠牲者の中に含まれている。

報道によると、流出したデータには電子メールIDとそれに対応するパスワードが含まれているという。これらのログイン資格情報がまだ有効であれば、ハッカーは他のハッキング手法を使用することなく内部システムにアクセスできます。

さらに、セキュリティ専門家は、犯罪者にとって有効なログイン資格情報は、セキュリティ警報を鳴らすことなく通常のユーザーと同じようにログインできるため、盗まれたファイルよりも価値があると警告しています。

このキャンペーンは政府をはるかに超えて広がっています

この攻撃は政府機関だけの問題ではない。公開された認証情報には、世界中の医療提供者、エネルギー会社、医薬品供給会社、その他の重要インフラの運営者も関与しています。

サイバーセキュリティの専門家で元NHS医師のサイフ・アベド博士は、医療提供者へのアクセス侵害がランサムウェア攻撃の開始点となる可能性があると警告した。このような攻撃は患者ケアを直接妨害する可能性があります。

彼の警告は、病理学プロバイダーである Synnovis に対する大規模なランサムウェア攻撃の 2 年後に発せられました。この事件により、ロンドン全土で数千件のNHSの予約や手術がキャンセルされた。

パッチを適用する新しいソフトウェアの脆弱性はありません

事件の規模にもかかわらず、研究者や政府機関は、これがフォーティネット製品の新たな欠陥の結果ではないと強調しています。サイバー犯罪者は、クレデンシャル スタッフィング、ブルート フォース パスワード攻撃、以前のデータ侵害で盗んだパスワードなど、さまざまな既知の攻撃手法を使用しました。これらのイベントは多くの場合、パスワードが弱く、2 要素認証の使用に失敗したことが原因で発生します。

強力なパスワードを実践することも重要です。Facebook ユーザーをターゲットにしたフィッシング キャンペーンで注目を集める、ハッカーが欺瞞的なスキームを通じてログイン資格情報を盗もうとします。

FortiBleed 攻撃について最初に一般の人々に警告したのは、セキュリティ専門家である Volodymyr "Bob" Diachenko で、公開されたサーバーを発見した後、彼でした。このサーバーには、有効な Fortinet 管理者と VPN 認証情報と思われるものが保持されていました。

このデータベースには、世界中で公開されている 80,000 を超えるフォーティネット アプライアンスが含まれていました。推定によると、この広範なキャンペーンではターゲットを見つけるために 430,000 台を超えるデバイスがスキャンされたと考えられます。

英国の国家サイバー セキュリティ センター (NCSC) は、フォーティネットのシステムを標的としたブルートフォース攻撃が継続していることを確認しました。これらのデバイスを使用している組織に対して緊急の警告を発しています。

同庁は組織に対し、ただちにパスワードをリセットすることを推奨している。また、ログイン試行をチェックし、影響を受けるシステムを隔離し、不審なアクティビティがないかネットワークを監視することも推奨しています。

他の国家サイバーセキュリティ機関も同様の警告を発している。これには以下が含まれますシンガポール当局、オランダ、米国の CISA など、このキャンペーンは世界中の組織に影響を与え続けています。

報告によると、攻撃インフラと悪意のあるコードの一部にはロシア語の要素が含まれているという。オンライン エイリアス「SantaAd」を使用する別の攻撃者も、販売用の資格情報を宣伝しています。

しかし、英国当局はこのキャンペーンがロシア政府によるものであるとは直接的には考えていない。しかし、NCSC によれば、現時点では政府が関与している兆候はないという。

それにもかかわらず、英国の諜報員は、継続的にストレスを感じているロシアを拠点とするハッカー集団は通常、それを可能にする環境を享受しているという事実。これらのグループは、ロシアの利益を標的にすることを回避する限り、攻撃を開始することができます。

最新の脅威インテリジェンスは、盗まれたフォーティネットの認証情報がすでにランサムウェア活動に利用されている可能性を示唆しています。 SOCRadar の研究者は最近、FortiBleed インフラストラクチャを INC および Lynx ランサムウェア グループに関連付けました。

さらに、この警告は、資格情報の盗難が将来の攻撃の前兆にすぎない可能性があることを示しています。企業にとっての教訓は、ソフトウェアの脆弱性を悪用しなくても、パスワードの弱点があればサイバー犯罪者が自社のシステムにアクセスするのに十分であるということです。