Hackers Fortinet-firewalls onderschepten inlogverkeer van 24 protocollen

In dit artikel:

Cybersecuritybedrijf SOCRadar meldt dat de groep achter de massale Fortinet-hacks niet alleen firewalls en vpn-gateways binnendrong, maar ook wachtwoorden afvangt van netwerkverkeer. Volgens de analyse begon de aanval met SSH-bruteforce op basis van een samengestelde lijst met eerder gelekte en gekochte inloggegevens. Zodra toegang was verkregen, plaatsten de aanvallers een netwerksniffer op de apparaten om inlogverkeer van 24 protocollen te onderscheppen, waaronder SMB, LDAP, SMTP, FTP, Telnet, RDP en FortiClient.

Daardoor kwamen zowel gehashte als onversleutelde wachtwoorden in handen van de criminelen. De hashes werden daarna met een GPU-cluster gekraakt, waarna de aanvallers probeerden verder door te dringen in netwerken, onder meer richting Active Directory en MSSQL-databases. Het vermoedelijke einddoel is het stelen van gevoelige gegevens van netwerkschijven en het vasthouden van toegang via gestolen sessiecookies.

De bevindingen komen nadat vorige week al bekend werd dat inloggegevens van ongeveer 74.000 Fortinet-apparaten te koop worden aangeboden. SOCRadar kon veel van de werkwijze reconstrueren via informatie uit een open directory die door de aanvallers was achtergelaten.