FortiBleed : la campagne s'étend bien au-delà des appliances Fortinet

Nouveaux développements dans la campagne dite FortiBleed : outre les systèmes FortiGate et les serveurs MSSQL, les appliances Sophos sont également concerné, selon le chercheur Bob Diachenko.

Ses dernières constatations font ressortir des tentatives de compromission contre plus de 320 000 systèmes FortiGate et plus de 247 000 systèmes Sophos. 

Sur LinkedIn, il explique que les assaillants ont tenté des attaques en force brute, en procédant à une rotation de pairs d'identifiants, soit... plus 1,6 milliards de combinaisons. Pour les serveurs MSSQL, le chiffre est encore plus impressionnant : 2,1 milliards de combinaisons essayées avec 50 000 threads.

De là, des outils d'exploration des systèmes d'information compromis ont été déployés, pour tenter de collecter des identifiants en clair : HTTP, FTP, messagerie, LDAP, SNMP, ou encore Telnet. Le processus décrit est de dimension industrielle.

Bob Diachenko explique que les hachages Kerberos/NTLM interceptés sont cassés par force brute sur un cluster de 45 GPU RTX 4090 orchestré par Hashtopolis. Les opérateurs effectuent ensuite un pivot vers les réseaux internes par le biais d’un VPN SSL et détournent des sessions FortiGate actives par relecture de cookies à l’aide d’OpenConnect.

Les assaillants extraient alors l’annuaire Active Directory via les protocoles LDAP et SMB, exfiltrent des données depuis les partages de fichiers SMB, récupèrent des tickets Kerberos et collectent les modèles de stratégies de groupe. Toutes ces opérations sont journalisées depuis des machines virtuelles Kali placées derrière un NAT, de manière à ce que le serveur de commande et contrôle n’entre jamais en contact direct avec Active Directory.

Les cibles sont hiérarchisées selon leur chiffre d’affaires, les entreprises générant plus de 113 milliards de dollars constituant l’échelon prioritaire après enrichment par renseignement en source ouverte. La coordination entre opérateurs s’effectue enfin via des terminaux tmux partagés, permettant à plusieurs utilisateurs de travailler simultanément sur une même machine virtuelle.