Ruski napadalci so pridobili skoraj neomejen dostop do omrežij številnih velikih organizacij, med njimi podjetij Oracle, Chevron, Lenovo in FedEx, pa tudi enega od Natovih obrambnih dobaviteljev. Vdor jim je uspel z izkoriščanjem ranljivosti v požarnih zidovih podjetja Fortinet, ki je tudi samo postalo tarča napada.
Po podatkih raziskovalca Boba Diačenka je bilo kompromitiranih skoraj 74.000 varnostnih naprav fortinet z več kot 21.000 IP-naslovov v 194 državah. Napadalci so na spletu objavili uporabniška imena in gesla v nešifrirani obliki, skupaj s podatki o dejavnosti, prihodkih in številu zaposlenih v prizadetih organizacijah.
Neodvisni raziskovalec Kevin Beaumont je opozoril, da je bila »skoraj vsa« kompromitirana oprema še vedno povezana z internetom. Pri več organizacijah je potrdil, da so ukradeni prijavni podatki pristni in še vedno veljavni.
Prizadeta polovica vseh Fortinetovih požarnih zidov
Obseg napada je izjemen. Po ocenah podjetja Hudson Rock obsega število prizadetih naprav približno polovico vseh Fortinetovih požarnih zidov na svetu. »Obseg vdora je takšen, da se dotika skoraj vsakega sektorja svetovnega gospodarstva, pri čemer ni bilo prizaneseno nobeni panogi,« so zapisali raziskovalci. Dodali so, da so si napadalci ustvarili »preverjeno zbirko delujočih prijavnih podatkov za nekatera največja podjetja na svetu«.
Napadalci so najprej množično pregledovali internet in iskali vstopne točke za oddaljene prijave v naprave fortigate. Nato so s posebno programsko opremo preizkušali stotisoče kombinacij uporabniških imen in gesel. Ko so pridobili dostop, so lahko prestrezali prijavne podatke zaposlenih ter postopoma napredovali globlje v omrežja podjetij.
Po navedbah podjetja Hudson Rock so za odkrivanje zaščitenih gesel uporabljali zmogljiv sistem s 45 grafičnimi karticami. Posebej skrb zbujajoče je, da je sistem sproti izboljševal svoje ugibanje. Vsako uspešno odkrito geslo je služilo kot osnova za iskanje novih, zato je z vsakim uspehom postajal še učinkovitejši.
Svetujejo takojšen pregled za znake vdora
Čeprav so bili napadalci tehnično zelo napredni, so naredili presenetljivo začetniško napako. Na svojih strežnikih so pustili sledi, ki so raziskovalcem omogočile vpogled v njihovo infrastrukturo in razkritje celotne operacije.
Največ kompromitiranih naprav so odkrili v Indiji, ZDA, Tajvanu, Mehiki, na Tajskem in v Turčiji. Med najobčutljivejšimi primeri je turški obrambni dobavitelj za Nato, iz katerega so napadalci uspešno odtujili zaupne obrambne dokumente.
Med najbolj prizadetimi panogami so informacijske storitve, telekomunikacije, gradbeništvo, proizvodnja industrijske opreme in finančne storitve. V bazi ukradenih podatkov so se znašla tudi podjetja Foxconn, Samsung, Comcast, Siemens, PwC in Accenture, pa tudi številne državne ustanove ter upravljalci kritične infrastrukture.
Požarni zidovi so sicer že dolgo ena najprivlačnejših tarč hekerjev. Predstavljajo prvo obrambno linijo omrežja, hkrati pa omogočajo dostop do najdragocenejših sistemov organizacije. Ker so bili ukradeni podatki dostopni tudi drugim kibernetskim kriminalcem, strokovnjaki opozarjajo, da je tveganje za nadaljnje zlorabe zelo veliko. Uporabnikom Fortinetovih rešitev zato priporočajo takojšen pregled omrežij in preverjanje morebitnih znakov vdora.
