Hàng chục nghìn tường lửa Fortinet bị tấn công trong chiến dịch toàn cầu

Hàng chục nghìn tường lửa và VPN của Fortinet được các công ty lớn trên toàn thế giới sử dụng đã bị tội phạm mạng xâm phạm, theo báo cáo từ hai công ty an ninh mạng hàng đầu.

Chiến dịch tấn công quy mô lớn này, đang diễn ra và được đặt tên là FortiBleed, dường như không liên quan đến việc khai thác các lỗ hổng chưa biết (zero-day) trên thiết bị mục tiêu. Thay vào đó, vấn đề xuất phát từ một sai sót cơ bản hơn nhiều: Các công ty có thể đã không thay đổi mật khẩu mặc định hoặc mật khẩu quản trị cho tường lửa, cũng như không đảm bảo rằng thông tin đăng nhập cho các hệ thống nhạy cảm được công khai trên internet chưa bị hacker nắm giữ.

Phương thức tấn công tự duy trì

Trong chiến dịch này, tin tặc trước hết sử dụng các công cụ tự động để quét internet nhằm tìm kiếm các tường lửa và VPN của Fortinet đang bị lộ. Sau đó, họ đột nhập vào các thiết bị này nhờ vào danh sách các mật khẩu đã bị lộ từ trước.

Tại thời điểm này, tội phạm mạng có thể đánh cắp dữ liệu nhạy cảm hơn từ các công ty nạn nhân. Các công ty an ninh mạng Hudson Rock và SOCRadar đã viết trong báo cáo được công bố tuần này rằng: "Khi một thiết bị bị xâm phạm, [tin tặc] sử dụng nó như một trạm nghe lén, giám sát lưu lượng truy cập đi qua và thu thập bất kỳ thông tin đăng nhập bổ sung nào tuồn ra. Những mật khẩu vừa thu thập được này sau đó được đưa lại vào bộ quét để xâm phạm thêm nhiều thiết bị nữa. Hệ thống này tự nuôi dưỡng chính nó."

Quy mô và các nạn nhân lớn

Hudson Rock cho biết họ đã tìm thấy bằng chứng cho thấy hơn 73.000 URL độc nhất của Fortinet đã bị hack, trong khi SOCRadar cho biết tổng số thiết bị bị hack là hơn 30.000.

Theo Hudson Rock, các công ty bị hack bao gồm những tên tuổi lớn như: Accenture, Comcast, Foxconn, Lenovo, Oracle, Samsung, Siemens và PwC. Một người phát ngôn của Lenovo đã xác nhận nhận được yêu cầu bình luận từ TechCrunch nhưng không phản hồi. Không có công ty nào khác phản hồi yêu cầu bình luận.

Cả Hudson Rock và SOCRadar đều chỉ ra rằng các quốc gia có số thiết bị bị ảnh hưởng nhiều nhất là Ấn Độ, Hoa Kỳ, Đài Loan và Mexico. Tuy nhiên, cả hai công ty đều khẳng định có nạn nhân ở khắp nơi trên thế giới. Về ngành nghề, theo Hudson Rock, những ngành bị ảnh hưởng nhiều nhất là dịch vụ CNTT, vật liệu xây dựng và viễn thông. Các cơ quan chính phủ cũng nằm trong số nạn nhân, theo SOCRadar.

Cảnh báo từ cộng đồng an ninh mạng

Cả hai công ty an ninh mạng đều cho biết nhóm đứng sau chiến dịch tấn công này dường như là những người nói tiếng Nga. Fortinet chưa phản hồi yêu cầu bình luận về vấn đề này.

Các báo cáo của Hudson Rock và SOCRadar dựa trên việc phát hiện ra một danh sách thông tin đăng nhập cho các thiết bị Fortinet và các công ty liên quan. Chiến dịch tấn công này lần đầu tiên được nhà nghiên cứu bảo mật Bob Diachenko báo cáo vào cuối tuần qua. Nhà nghiên cứu an ninh mạng độc lập Kevin Beaumont cho biết trong một bài đăng trên blog vào thứ Tư rằng ông đã phân tích dữ liệu và xác nhận dữ liệu này "là chính xác".

Trong những năm gần đây, nhiều chiến dịch tấn công đã nhắm vào và xâm phạm các thiết bị của Fortinet, thường là bằng cách khai thác lỗ hổng trong các hệ thống đó. Tuy nhiên, trong trường hợp cụ thể này, tin tặc dựa vào các mật khẩu bị lộ — một phương thức tấn công đơn giản và ít tinh vi hơn.