La campagne FortiBleed expose les informations d'identification Fortinet, y compris les comptes du gouvernement britannique

Une campagne mondiale de cyberattaque ciblant les produits de sécurité Fortineta compromisles identifiants de connexion associés au personnel du gouvernement britannique et à certains services critiques. Cette campagne alimente désormais les inquiétudes quant à la vulnérabilité des infrastructures ainsi qu’aux risques d’attaques de ransomwares.

Les chercheurs en sécurité estiment que cette campagne FortiBleed fait partie des plus grandes opérations de vol d'identifiants ciblant les pare-feu Fortinet. Au lieu d'identifier une nouvelle vulnérabilité logicielle, les attaquants utilisent des mots de passe volés, recyclent les anciens mots de passe et effectuent des tentatives de connexion automatisées.

Les comptes du gouvernement et du conseil britannique dévoilés

Des rapports, publiés pour la première fois par The Telegraph, ont révélé que des informations d'identification appartenant à des fonctionnaires du gouvernement britannique étaient apparues sur des marchés criminels. Une partie de cet accès volé se vendrait jusqu'à 60 000 dollars.

Les comptes compromis incluent le personnel informatique travaillant dans les ambassades britanniques en Thaïlande et à Maurice. Des employés des conseils municipaux du Derbyshire et de Waltham Forest figurent également parmi les victimes de cette attaque.

Selon les rapports, les données divulguées incluent les identifiants de messagerie et les mots de passe correspondants. Si ces identifiants de connexion sont toujours valides, les pirates pourront accéder aux systèmes internes sans avoir à recourir à aucune autre technique de piratage.

De plus, les experts en sécurité ont averti que des informations de connexion valides ont plus de valeur pour les criminels que les fichiers volés, car elles leur permettent de se connecter comme des utilisateurs normaux sans déclencher d'alarmes de sécurité.

La campagne s'étend bien au-delà du gouvernement

L’attaque n’est pas seulement un problème pour les agences gouvernementales. Les informations d’identification exposées impliquent également des prestataires de soins de santé, des sociétés énergétiques, des fournisseurs pharmaceutiques et d’autres opérateurs d’infrastructures critiques dans le monde entier.

Le Dr Saif Abed, expert en cybersécurité et ancien médecin du NHS, a averti qu'un accès compromis aux prestataires de soins de santé pourrait être un point de départ pour des attaques de ransomwares. De telles attaques peuvent directement perturber les soins aux patients.

Son avertissement intervient deux ans après une attaque majeure de ransomware contre le fournisseur de pathologie Synnovis. Cet incident a conduit à l’annulation de milliers de rendez-vous et d’opérations au NHS à Londres.

Aucune nouvelle vulnérabilité logicielle à corriger

Malgré l'ampleur de l'incident, les chercheurs et les agences gouvernementales soulignent qu'il ne s'agit pas du résultat d'une nouvelle faille dans les produits Fortinet. Les cybercriminels ont utilisé diverses méthodes d'attaque connues, notamment le credential stuffing, l'attaque de mots de passe par force brute et les mots de passe volés lors de violations de données précédentes. Ces événements sont souvent le résultat de mots de passe faibles et de l’incapacité d’utiliser l’authentification à deux facteurs.

L’importance de bonnes pratiques en matière de mots de passe est égalementmis en évidence par les campagnes de phishing ciblant les utilisateurs de Facebook, où les pirates tentent de voler les informations de connexion via des stratagèmes trompeurs.

La première personne à alerter le public de l'attaque FortiBleed a été Volodymyr « Bob » Diachenko, expert en sécurité, après avoir découvert le serveur exposé. Ce serveur contenait ce qui ressemblait à des informations d’identification d’administrateur Fortinet et VPN valides.

La base de données comprenait plus de 80 000 appliances Fortinet exposées dans le monde. Les estimations suggèrent que la campagne plus large a analysé plus de 430 000 appareils pour trouver leurs cibles.

Le National Cyber ​​Security Centre (NCSC) du Royaume-Uni a confirmé des attaques par force brute en cours ciblant les systèmes Fortinet. Ils ont émis un avertissement urgent aux organisations utilisant ces appareils.

L'agence recommande aux organisations de réinitialiser immédiatement leurs mots de passe. Ils recommandent également de vérifier les tentatives de connexion, d’isoler les systèmes concernés et de surveiller les réseaux pour détecter toute activité suspecte.

D’autres agences nationales de cybersécurité ont également émis un avertissement similaire. Cela comprendautorités à Singapour, aux Pays-Bas et à la CISA aux États-Unis, alors que la campagne continue d’affecter les organisations du monde entier.

L'infrastructure d'attaque et certaines parties du code malveillant contiendraient des éléments en langue russe. Un autre acteur malveillant utilisant le pseudonyme en ligne « SantaAd » annonce également les informations d’identification à vendre.

Cependant, les responsables britanniques n’ont pas directement attribué la campagne au gouvernement russe. Cependant, selon le NCSC, il n’y a actuellement aucun signe d’implication du gouvernement.

Néanmoins, les agents du renseignement britannique ontcontinuellement stresséle fait que les gangs de hackers basés en Russie bénéficient généralement d’un environnement favorable. Ces groupes peuvent lancer des attaques à condition d’éviter de cibler les intérêts russes.

De nouvelles informations sur les menaces suggèrent que les informations d'identification Fortinet volées pourraient déjà alimenter les opérations de ransomware. Les chercheurs de SOCRadar ont récemment lié l'infrastructure FortiBleed aux groupes de ransomware INC et Lynx.

En outre, l’avertissement indique que le vol d’identifiants pourrait simplement être un prélude à de futures attaques. La leçon pour les entreprises est que même sans exploiter les vulnérabilités logicielles, les faiblesses des mots de passe suffiraient aux cybercriminels pour accéder à leurs systèmes.