Secondo due società di sicurezza informatica, i criminali informatici hanno compromesso decine di migliaia di firewall e VPN Fortinet utilizzati dalle principali aziende di tutto il mondo.
La diffusa campagna di hacking, che è in corso ed è stata soprannominata FortiBleed, sembra non implicare l’abuso di vulnerabilità sconosciute nei dispositivi presi di mira, ma piuttosto su una questione più basilare: le aziende potrebbero non cambiare le password del firewall, né assicurarsi che le credenziali che utilizzano per i sistemi sensibili esposti su Internet non siano già note agli hacker.
In questa campagna, gli hacker utilizzano innanzitutto strumenti automatizzati per scansionare Internet alla ricerca di firewall e VPN Fortinet esposti. Poi riescono a penetrare nei dispositivi grazie a elenchi di password precedentemente conosciute. A quel punto, i criminali informatici possono rubare dati più sensibili alle aziende vittime, alle società di sicurezza informatica Hudson Roccia E SOCRadar hanno scritto nei loro rapporti pubblicati questa settimana.
“Una volta che un dispositivo viene compromesso, (gli hacker) lo usano come postazione di ascolto, monitorando il traffico in transito e raccogliendo eventuali credenziali aggiuntive che passano. Le password appena raccolte vengono poi reinserite nello scanner per compromettere ancora più dispositivi. Il sistema si alimenta da solo”, ha scritto SOCRadar.
Hudson Rock ha affermato di aver trovato prove che suggeriscono che più di 73.000 URL Fortinet univoci sono stati violati, mentre SOCRadar ha affermato che il totale dei dispositivi compromessi è superiore a 30.000.
Secondo Hudson Rock, le aziende hackerate includono: Accenture, Comcast, Foxconn, Lenovo, Oracle, Samsung, Siemens e PwC.
Un portavoce di Lenovo ha confermato di aver ricevuto la richiesta di commento di TechCrunch ma non ha risposto. Nessuna delle altre società ha risposto a una richiesta di commento.
Secondo Hudson Rock e SOCRadar, i paesi con i dispositivi più colpiti sono India, Stati Uniti, Taiwan e Messico. Ma entrambe le società affermano che ci sono vittime in tutto il mondo. Per quanto riguarda le industrie, secondo Hudson Rock quelle più colpite sono i servizi IT, i materiali da costruzione e le telecomunicazioni. Anche le agenzie governative sono tra le vittime, secondo SOCRadar. Entrambe le società di sicurezza informatica hanno affermato che il gruppo dietro la campagna di hacking sembra essere di lingua russa.
Fortinet non ha risposto a una richiesta di commento.
I rapporti di Hudson Rock e SOCRadar si basano sulla scoperta di un elenco di credenziali per dispositivi Fortinet e aziende associate. Questa campagna di hacking è stato segnalato per la prima volta dal ricercatore di sicurezza Bob Diachenko durante il fine settimana. Il ricercatore indipendente sulla sicurezza informatica Kevin Beaumont detto in un post sul blog mercoledì che ha analizzato i dati e ha confermato che i dati “sono legittimi”.
Negli ultimi anni, diverse campagne di hacking hanno preso di mira e compromesso i dispositivi Fortinet, in genere sfruttando le vulnerabilità di tali sistemi. In questo caso, invece, gli hacker si affidano alle password trapelate, un attacco più semplice e meno sofisticato.
Quando acquisti tramite i link presenti nei nostri articoli, potremmo guadagnare una piccola commissione. Ciò non pregiudica la nostra indipendenza editoriale.
