Una violazione di proporzioni enormi ha colpito i firewall Fortinet, lasciando in mano a un gruppo di attaccanti di lingua russa le chiavi d’accesso a migliaia di reti sensibili sparse in tutto il mondo. Nel mucchio di organizzazioni colpite spuntano nomi pesantissimi come Oracle, Chevron, Lenovo, Federal Express, un appaltatore della difesa legato alla NATO e perfino la stessa Fortinet. Una di quelle notizie che fa drizzare le antenne a chiunque si occupi di sicurezza informatica, perché qui non si parla di un singolo bersaglio ma di un intero ecosistema messo a nudo.
I numeri raccontano bene la portata della faccenda. Quasi 74.000 dispositivi Fortinet, collegati a oltre 21.000 indirizzi IP distribuiti in 194 paesi, sono stati compromessi e le loro credenziali in chiaro sono finite online. A scoprirlo è stato un ricercatore di sicurezza che ha raccontato di aver avuto accesso al server di comando e controllo usato dagli aggressori, oltre ad altra infrastruttura. Tra i dati esposti c’erano anche informazioni sul settore di attività, sul fatturato e sul numero di dipendenti di ogni azienda colpita. In pratica una scheda dettagliata per ciascuna vittima.
Scala enorme, sicurezza operativa da dilettanti
Quello che colpisce di più è il contrasto tra la sofisticazione dell’attacco e gli errori grossolani commessi da chi lo ha orchestrato. La gran parte dei dispositivi compromessi risultava ancora online, e diverse organizzazioni hanno confermato che le credenziali presenti nei log degli attaccanti erano reali e ancora valide. In molti casi, una volta entrati nei firewall, gli aggressori sono riusciti ad arrivare ai sistemi di autenticazione centralizzati, come i server Radius e Microsoft Active Directory. Per dare un’idea, i dispositivi colpiti rappresentano circa la metà di tutti i firewall Fortinet esposti su Internet. Il metodo seguito è stato tanto aggressivo quanto metodico. Tutto è partito da una scansione di massa della rete alla ricerca degli endpoint di login remoto di FortiGate. Poi è entrato in gioco un programma su misura capace di lavorare con 25.000 thread in parallelo, che ha bombardato centinaia di migliaia di punti d’accesso con migliaia di combinazioni di nomi utente e password. Ogni tentativo andato a segno apriva di fatto un varco dentro l’organizzazione bersaglio.
Hash intercettati e un cluster con 45 GPU
La parte più tecnica racconta di attaccanti che intercettavano gli hash di autenticazione SSL VPN per poi decifrarli con un cluster dedicato da 45 GPU, gestito tramite Hashtopolis. Tradotto, provavano un’enorme quantità di password in chiaro finché non trovavano quella giusta. Una volta ottenute, queste password permettevano di muoversi lateralmente nelle reti, fino a compromettere gli ambienti Active Directory e gli altri sistemi di autenticazione centralizzata.
Le conseguenze sono state concrete e pesanti. Sono stati confermati cedimenti completi di reti in Giappone, Taiwan, Vietnam, Iraq e Turchia. Il caso più allarmante riguarda un appaltatore della difesa turco legato alla NATO, dal quale il gruppo è riuscito a portare via documenti classificati. Il sistema di cracking, peraltro, non era una semplice lista piatta di parole, ma un meccanismo ricorsivo a 12 livelli che si autoalimentava. Le password indovinate venivano riutilizzate come base per generarne altre, così che ogni successo rendeva il sistema sempre più efficace.
A stridere con tutta questa ingegnosità c’è il fatto che gli attaccanti hanno lasciato tracce sul server che usavano, una leggerezza che negli ambienti hacker viene considerata roba da principianti. I paesi con il maggior numero di dispositivi compromessi sono India, Stati Uniti, Taiwan, Messico, Turchia e Thailandia, mentre i settori più colpiti vanno dai servizi IT alle telecomunicazioni, passando per costruzioni, attrezzature industriali e servizi finanziari. Nel database compaiono anche aziende come Foxconn, Samsung, Comcast, Siemens, PwC e Accenture, insieme a migliaia di altre realtà, comprese importanti agenzie governative e fornitori di infrastrutture critiche. I firewall restano da sempre uno dei bersagli preferiti di chi attacca le reti. Accettano connessioni dall’esterno, stanno al confine del perimetro aziendale e hanno accesso a risorse di valore nascoste nel cuore dei sistemi. Visto che i dati sono ormai a disposizione di criminali informatici e di chiunque altro li abbia trovati, agli utenti Fortinet viene consigliato di controllare subito le proprie reti alla ricerca di segni di compromissione.
