吳明宜一起名為 FortiBleed 的攻擊行動,可能讓駭客得以蒐集全球企業約 3 萬台 Fortinet 防火牆與 FortiGate VPN 網址。台灣也有兩家大型企業受害。
這起攻擊由資安研究人員 Bob Diachenko 首先揭露。他發現一台伺服器內存有疑似有效的 Fortinet VPN 憑證,包括使用者名稱、電子郵件信箱,以及以明碼儲存的密碼等資訊。
研究人員偵測到一台由駭客組織營運的伺服器,持續蒐集全球 194 個國家政府、企業及組織共 30,791 台 Fortinet 裝置與 73,932 個網址。透過發現的工具、自動化基礎架構及受害組織名單,研究人員得以描繪出完整的受害者輪廓。
研究人員指出,整起攻擊流程高度自動化。攻擊者先掃描網際網路上的 Fortinet 裝置,再利用既有密碼逐一嘗試登入,並記錄成功登入的設備。一旦成功登入,便透過裝置的通訊埠監控流量,進一步蒐集流經的其他憑證,再將取得的新密碼回傳至控制伺服器。
研究人員表示,這些密碼清單來自先前入侵事件所取得的憑證。如果受害者長期未更換密碼,便可能持續遭攻擊者利用。他們分析伺服器上的工具、基礎架構及受害者組成後,發現相關行為模式與俄語系駭客組織相似,顯示此次攻擊可能與相關勢力有關,但目前尚無法確認。
資安專家 Kevin Beaumont 分析名單後認為,其可信度相當高,並推測駭客可能是從 Fortinet 配置檔取得相關資訊。
受害產業涵蓋銀行、電信、醫院、大學、政府機關、能源業者,以及年營收數百億美元的跨國企業。受害範圍遍及亞洲、歐洲、美洲、中東及非洲。
在年營收數百億美元的大型企業名單中,包含兩家台灣企業,分別為年營收約 700 億美元及 640 億美元的公司,各有 2 個及 1 個 Fortinet 帳號曝險。
根據 BleepingComputer 報導,台灣受害企業為鴻海與永豐銀行 (Sinopac) 。其他受害企業還包括三星、賓士、豐田、雪佛龍 (Chevron) 、 Comcast 及 AT&T 等。
政府機關方面,以印度受害數量最多,此外也出現台灣、烏克蘭、波蘭及其他北約國家機構,顯示相關攻擊目標與當前高風險地緣政治情勢有所重疊。
Fortinet 回應媒體表示,已知悉這起針對 Fortinet 防火牆與 VPN 閘道的憑證蒐集攻擊。初步分析認為,攻擊者利用過往事件取得或透過暴力破解獲得的憑證,且與近期安全公告及攻擊事件無關。 Fortinet 表示將持續調查,並提醒客戶若能遵循定期更換密碼等安全最佳實務,可降低相關風險。
來源:SOCRadar 、 BleepingComputer