Campagne mondiale de pulvérisation d’identifiants exploitant les VPN Fortinet
Une campagne massive et industrialisée a discrètement sondé les appareils VPN Fortinet et d’autres points de terminaison réseau dans le monde, effectuant des milliards de tentatives de connexion dans le cadre d’une opération automatisée de pulvérisation d’identifiants. Les chercheurs en sécurité n’ont découvert cette activité qu’en raison de l’exposition en ligne de l’infrastructure des attaquants, révélant un effort coordonné pour voler des identifiants et se déplacer latéralement au sein des réseaux d’entreprise.
Le fonctionnement de l’exploitation à grande échelle
La campagne ciblait les appareils FortiGate SSL VPN de Fortinet et les portails utilisateurs Sophos, scannant plus de 320 000 points de terminaison FortiGate et plus de 247 000 points Sophos. Les attaquants ont ensuite pulvérisé près de 3 640 paires identifiant-mot de passe sur chaque cible, totalisant plus d’un milliard de combinaisons, à l’aide d’un outil personnalisé appelé forticheck exécutant 25 000 threads concurrents. Une vague parallèle a visé 163 650 instances de Microsoft SQL Server avec 2,1 milliards d’essais de connexion à 50 000 threads. Une fois à l’intérieur, les opérateurs ont déployé des renifleurs réseau pour extraire des identifiants en clair à partir de protocoles incluant HTTP, FTP, SMTP, LDAP et d’autres. Les hachages Kerberos et NTLM étaient envoyés vers un cluster de craquage doté de 45 GPU pour un brute-forcing hors ligne.
De la faille à l’accès complet au domaine
Avec les identifiants décryptés en main, les attaquants ont réutilisé les cookies de session capturés via OpenConnect pour détourner des sessions VPN actives et accéder à Active Directory. Ils ont ensuite mené des activités classiques de post-exploitation, comme l’extraction de données Active Directory, l’exfiltration de fichiers et le vol de tickets Kerberos ainsi que de modèles de stratégie de groupe. Les opérateurs utilisaient des machines virtuelles Kali Linux derrière un NAT pour éviter tout contact direct avec les réseaux victimes, tout en sélectionnant leurs cibles en fonction de données de revenus publiques. Plusieurs opérateurs coordonnaient leurs actions via des sessions terminal partagées, et l’infrastructure de craquage fonctionnait elle-même avec des identifiants par défaut – une ironie parfaite au regard de leur modus operandi.
Une empreinte mondiale et des risques persistants
Au moins quatre organisations au Japon, Taïwan, Vietnam, Irak et Turquie ont été entièrement compromises, une entreprise de défense turque liée à l’OTAN signalant la perte de documents classifiés. Le jeu de données exposé couvrait 73 932 appareils FortiGate répartis dans 21 613 organisations de 207 pays, l’Inde étant en tête en volume brut et les opérateurs télécoms d’Amérique latine affichant la densité la plus élevée. Les secteurs des services informatiques, des télécommunications, des services financiers et des gouvernements étaient les plus exposés. Dans un échantillon aléatoire, 88 % des organisations exposées figuraient également dans des logs de stealers ou des données de fuites, et 38 % comptaient des employés infectés par des malwares d’extraction d’informations. Près de 590 étaient déjà listées sur des sites de fuites de ransomwares.
La leçon est claire : une interface de gestion FortiGate exposée n’est rarement un problème isolé. Elle signale souvent que les attaquants ont déjà identifié – et exploité – d’autres faiblesses dans l’environnement.
Source : Security Affairs. Synthèse éditoriale assistée par IA — TechnoExpress.