Os cibercriminosos comprometeram dezenas de milhares de firewalls e VPNs da Fortinet usados por grandes empresas em todo o mundo, de acordo com duas empresas de segurança cibernética.
A campanha generalizada de hackers, que está em andamento e foi apelidada de FortiBleed, parece não envolver o abuso de qualquer vulnerabilidade desconhecida nos dispositivos visados, mas sim uma questão mais básica: as empresas podem não estar alterando as senhas do firewall, nem garantindo que as credenciais que usam para sistemas sensíveis expostos na Internet já não sejam conhecidas pelos hackers.
Nesta campanha, os hackers estão primeiro usando ferramentas automatizadas para verificar a Internet em busca de firewalls e VPNs Fortinet expostos. Em seguida, eles invadem os dispositivos graças a listas de senhas já conhecidas. Nesse ponto, os cibercriminosos podem roubar dados mais confidenciais das empresas vítimas, empresas de segurança cibernética Rocha Hudson e SOCRadar escreveram em seus relatórios que publicaram esta semana.
“Uma vez que um dispositivo é comprometido, (os hackers) usam-no como um posto de escuta, monitorando o tráfego que passa e coletando quaisquer credenciais adicionais que fluem. Essas senhas recém-coletadas são então realimentadas no scanner para comprometer ainda mais dispositivos. O sistema se autoalimenta”, escreveu SOCRadar.
Hudson Rock disse ter encontrado evidências que sugerem que mais de 73.000 URLs exclusivos da Fortinet foram hackeados, enquanto a SOCRadar disse que o total de dispositivos hackeados é superior a 30.000.
De acordo com Hudson Rock, as empresas hackeadas incluem: Accenture, Comcast, Foxconn, Lenovo, Oracle, Samsung, Siemens e PwC.
Um porta-voz da Lenovo acusou o recebimento do pedido de comentário do TechCrunch, mas não respondeu. Nenhuma das outras empresas respondeu a um pedido de comentário.
De acordo com Hudson Rock e SOCRadar, os países com dispositivos mais afetados são Índia, Estados Unidos, Taiwan e México. Mas ambas as empresas afirmam que há vítimas em todo o mundo. Quanto às indústrias, as mais afetadas são os serviços de TI, materiais de construção e telecomunicações, segundo Hudson Rock. Agências governamentais também estão entre as vítimas, segundo SOCRadar. Ambas as empresas de segurança cibernética disseram que o grupo por trás da campanha de hackers parece falar russo.
A Fortinet não respondeu a um pedido de comentário.
Os relatórios da Hudson Rock e da SOCRadar são baseados na descoberta de uma lista de credenciais para dispositivos Fortinet e empresas associadas. Esta campanha de hackers foi relatado pela primeira vez pelo pesquisador de segurança Bob Diachenko no fim de semana. Pesquisador independente de segurança cibernética Kevin Beaumont disse em uma postagem no blog na quarta-feira que ele analisou e confirmou que os dados “são legítimos”.
Nos últimos anos, várias campanhas de hackers visaram e comprometeram dispositivos Fortinet, geralmente abusando de vulnerabilidades nesses sistemas. Em vez disso, neste caso, os hackers estão contando com senhas vazadas, um ataque mais simples e menos sofisticado.
Quando você compra por meio de links em nossos artigos, podemos ganhar uma pequena comissão. Isso não afeta nossa independência editorial.