Hackeri ruși, acuzați că vând acces la conturi guvernamentale britanice: cum funcționează atacul FortiBleed
Un atac cibernetic denumit FortiBleed ridică semne serioase de întrebare în Marea Britanie, după ce date de autentificare asociate unor angajați guvernamentali, inclusiv din rețeaua Foreign Office și administrații locale, ar fi ajuns în mâinile infractorilor. Potrivit unei investigații publicate de The Telegraph, accesul la unele dintre aceste conturi este oferit pe forumuri de pe dark web pentru sume de până la 60.000 de dolari, echivalentul a aproximativ 44.000 de lire sterline.
Miza nu este doar compromiterea unor adrese de e-mail. O parolă funcțională, mai ales când este reutilizată în mai multe servicii, poate deveni punctul de plecare pentru accesarea unor rețele interne, schimbarea configurărilor de securitate sau instalarea unor mecanisme de acces ascuns. În cazul instituțiilor publice, al spitalelor și al operatorilor din energie, consecințele pot depăși cu mult sfera unui simplu incident IT.
Parole vechi, folosite ca cheie de intrare
Cercetătorii au numit campania FortiBleed după numele echipamentelor Fortinet vizate. Potrivit informațiilor apărute în presa britanică, atacatorii ar fi pus mâna pe credențiale legate de zeci de mii de firewall-uri și servicii VPN, inclusiv date asociate unor organizații din Regatul Unit. Printre conturile expuse s-ar afla angajați IT de la ambasade britanice din Thailanda și Mauritius, dar și personal din administrațiile locale Derbyshire și Waltham Forest.
Centrul Național de Securitate Cibernetică din Marea Britanie, NCSC, a confirmat existența unei campanii globale care vizează firewall-uri și gateway-uri VPN Fortinet. Instituția spune că o bază de date cu credențiale a fost obținută în urma unor tentative de brute force, atacuri de tip dicționar și credential stuffing, metoda prin care atacatorii încearcă parole furate anterior pe alte servicii. Cu alte cuvinte, vulnerabilitatea nu pornește neapărat de la o parolă „spartă” pe loc, ci de la obiceiul extrem de riscant de a folosi aceeași combinație de e-mail și parolă în mai multe locuri.
Fortinet a subliniat la rândul său că situația nu este provocată de o vulnerabilitate nouă a produselor sale. Compania susține că actorii malițioși au exploatat date din incidente mai vechi, combinate cu parole slabe și lipsa autentificării multifactor. Distincția este importantă: actualizarea sistemului rămâne esențială, însă ea nu rezolvă singură problema atunci când un atacator are deja un nume de utilizator valid și o parolă reutilizată.
De ce infrastructura critică este în pericol
Potrivit relatării The Telegraph, lista de credențiale pusă la vânzare ar include și date care pot fi legate de instituții din sănătate, furnizori de energie și companii ce asigură medicamente sau servicii esențiale. Nu există, deocamdată, dovada publică a unei implicări directe a statului rus în această operațiune. Totuși, codul analizat de publicația britanică ar fi redactat în limba rusă, iar cercetătorii discută despre o posibilă legătură cu hackeri care operează din Rusia.
În sănătate, un atac inițial asupra unei porți de acces poate fi folosit ulterior pentru ransomware, furt de date sau blocarea unor sisteme vitale. Regatul Unit a văzut deja cât de repede se poate transforma un astfel de incident într-o problemă pentru pacienți: atacul asupra companiei Synnovis, din iunie 2024, a afectat serviciile de patologie și a dus la anularea a peste o mie de operații și a aproximativ două mii de programări. Un atacator nu trebuie să ajungă direct într-un spital pentru a crea haos; este suficient să compromită unul dintre furnizorii conectați la infrastructura medicală.
NCSC le cere organizațiilor care folosesc echipamente Fortinet să verifice de urgență dacă dispozitivele le-au fost afectate, să caute conturi create fără autorizare și activitate suspectă în jurnalele de sistem. În cazul în care există indicii de compromitere, dispozitivul trebuie izolat atât de internet, cât și de rețeaua internă. Instituția recomandă, de asemenea, resetarea parolelor implicite, generice sau reutilizate și activarea autentificării în doi pași pentru administrarea echipamentelor și accesul VPN.
Nu este doar o problemă britanică
FortiBleed demonstrează încă o dată că granița dintre o breșă individuală și un incident cu impact național este mai fragilă decât pare. O parolă veche, refolosită din comoditate, poate oferi acces la o poartă digitală care deschide ulterior drumul către informații sensibile, baze de date și sisteme operaționale. Iar atunci când asemenea date sunt tranzacționate pe dark web, riscul nu mai depinde de un singur grup de atacatori, ci de oricine este dispus să plătească pentru acces.
Pentru companii și instituții, lecția este clară: parolele unice, autentificarea multifactor și limitarea accesului la interfețele de administrare nu sunt măsuri opționale. Într-un peisaj în care atacatorii cumpără acces gata pregătit, prevenția trebuie să fie permanentă. În cazul utilizatorilor obișnuiți, aceeași regulă rămâne valabilă: nu reutiliza parola de e-mail pentru alte conturi și activează verificarea în doi pași ori de câte ori serviciul o permite.