Chiến dịch thu thập thông tin đăng nhập FortiBleed đã ảnh hưởng hơn 430.000 tường lửa FortiGate trên toàn cầu, trực tiếp cung cấp thông tin cho hai hoạt động ransomware-as-a-service (RaaS) đang hoạt động là INC Ransom và Lynx. Đơn vị Nghiên cứu Đe dọa của SOCRadar đã xác định một đối tượng có quyền truy cập vào cơ sở hạ tầng FortiBleed, đang đăng nhập tích cực vào các bảng đàm phán của cả hai thương hiệu ransomware. Đây là kết nối được xác nhận đầu tiên giữa việc đánh cắp thông tin đăng nhập hàng loạt từ FortiGate và triển khai ransomware.
Phân tích Hoạt động FortiBleed
FortiBleed được ghi nhận là một chiến dịch thu thập thông tin đăng nhập quy mô lớn nhắm vào hơn 430.000 tường lửa FortiGate trên toàn thế giới. Đối tượng đe dọa hoạt động với vai trò Initial Access Broker (IAB), triển khai một công cụ tùy chỉnh viết bằng Golang có tên là FortigateSniffer. Công cụ này lợi dụng lệnh `diagnose sniffer packet` gốc của FortiOS để thu thập lưu lượng xác thực một cách thụ động trên hai chục giao thức.
Chi tiết Kỹ thuật FortigateSniffer
Công cụ FortigateSniffer hoạt động bằng cách:
- Lạm dụng chức năng sniffer gói tin tích hợp của FortiOS.
- Thu thập thụ động lưu lượng xác thực mà không cần sửa đổi hệ thống mục tiêu.
- Sử dụng hai chục giao thức khác nhau để đảm bảo phạm vi thu thập rộng.
Cơ sở hạ tầng và Phạm vi Tác động
Quá trình điều tra sâu hơn bằng các công cụ như Shodan, Censys, Validin và quét khối IP nội bộ đã phát hiện khoảng 200 máy chủ vận hành bổ sung liên quan đến các sniffer và scanner của chiến dịch. Hoạt động quét được theo dõi nhắm vào khoảng 11.250 cổng FortiGate trên hơn 150 quốc gia.
Một cuộc xâm nhập mạng vào một máy chủ mới được xác định đã làm lộ môi trường nội bộ của đối tượng đe dọa, bao gồm các bản ghi nhật ký và tài liệu vận hành. Dữ liệu này là cơ sở cho việc quy kết hoạt động.
Liên kết với Các Hoạt động Ransomware
Trong môi trường bị lộ, các nhà nghiên cứu đã tìm thấy một đối tượng tích cực tham gia vào các cuộc đàm phán đòi tiền chuộc trên bảng điều khiển của cả INC Ransom và Lynx. INC Ransom hoạt động từ giữa năm 2023 với tư cách là một trong những nhóm RaaS nổi bật nhất, trong khi Lynx, hoạt động khoảng một năm sau đó, được đánh giá rộng rãi là một biến thể tiến hóa của INC.
Xác nhận Trùng lặp Nạn nhân
Phát hiện này được củng cố bởi sự trùng lặp nạn nhân. Việc so sánh dữ liệu mục tiêu của FortiBleed với một thư mục mở liên kết với INC được phát hiện riêng biệt đã tiết lộ các tổ chức nạn nhân khớp nhau trên cả hai bộ dữ liệu. Điều này cung cấp sự xác nhận độc lập về một đường ống vận hành chung.
Cấu trúc Tổ chức của Kẻ Tấn công
SOCRadar đã thu hồi được một tài liệu theo dõi nội bộ chi tiết về việc sử dụng thông tin đăng nhập, các mạng đã truy cập và kết quả của các đợt triển khai ransomware. Phân tích cho thấy một hoạt động có cấu trúc với khoảng 20 người, bao gồm một nhóm nhỏ các đối tượng vận hành chính, các chuyên gia chuyên trách và nhân viên hỗ trợ.
Rủi ro An ninh Thông tin Tăng cao
FortiBleed không phải là một chiến dịch đánh cắp thông tin đăng nhập đơn lẻ; nó là một nguồn cung cấp trực tiếp cho các nền kinh tế ransomware đang hoạt động. Đối với các tổ chức vận hành cơ sở hạ tầng FortiGate, việc bị ảnh hưởng bởi FortiBleed giờ đây không chỉ là rủi ro bảo mật về thông tin đăng nhập mà còn là tiền đề tiềm tàng cho một cuộc triển khai ransomware toàn diện.
Việc chiếm quyền điều khiển các thiết bị FortiGate có thể dẫn đến việc truy cập sâu vào mạng nội bộ của tổ chức, tạo điều kiện cho các cuộc tấn công ransomware. Các tổ chức nên xem xét các biện pháp tăng cường bảo mật cho thiết bị FortiGate của họ.
Khuyến nghị Bảo mật
Để giảm thiểu rủi ro liên quan đến FortiBleed và các mối đe dọa tương tự, các tổ chức nên thực hiện các biện pháp sau:
- Cập nhật bản vá kịp thời cho các thiết bị FortiGate.
- Triển khai xác thực đa yếu tố (MFA) cho tất cả các truy cập quản trị.
- Giám sát chặt chẽ lưu lượng mạng và nhật ký xác thực để phát hiện các hoạt động bất thường.
- Xem xét việc sử dụng các giải pháp phát hiện và phản ứng điểm cuối (EDR) và hệ thống phát hiện xâm nhập (IDS/IPS).
- Thực hiện kiểm tra bảo mật định kỳ và đánh giá rủi ro.
Việc phát hiện xâm nhập sớm và phản ứng nhanh chóng là yếu tố then chốt để giảm thiểu thiệt hại từ các cuộc tấn công mạng. Khuyến nghị tích hợp các giải pháp an ninh mạnh mẽ để tăng cường khả năng phòng thủ.
Để tìm hiểu thêm về các mối đe dọa bảo mật và phân tích lỗ hổng, hãy tham khảo các nguồn tin cậy như CISA.










