28/05/21
ФБР сообщило об атаке иностранных хакеров на местное муниципальное правительство в США. Как показало расследование, взлом был осуществлен через уязвимости в сетевом оборудовании Fortinet.
Инцидент был обнаружен в мае 2021 года, примерно через месяц после того, как ФБР предупредило частный и государственный сектор о необходимости установить исправления для уязвимостей в оборудовании Fortinet. Как ранее сообщал SecurityLab, в апреле бюро предупредило о том, что APT-группы сканируют интернет в поисках установок Fortinet FortiOS VPN, уязвимых к CVE 2018-13379 , CVE-2020-12812 и CVE-2019-5591 . Однако, несмотря на предупреждение властей, по крайней мере одна правительственная организация все-таки стала жертвой хакеров.
«Как минимум в мае 2021 года APT-группа проэксплуатировала установку Fortinet с целью получения доступа к web-серверу, на котором размещен домен муниципального правительства в США», - говорится в новом уведомлении ФБР.
По данным бюро, злоумышленники создали бэкдор-аккаунт с именем elie, использовавшийся ими для получения доступа через установку Fortinet к сети правительственной организации. Как правило, получив доступ к сети, злоумышленники создают дополнительные бэкдор-аккаунты для доступа к контроллерам домена, серверам, рабочим станциям и Active Directory.
«Некоторые из этих учетных записей, похоже, были созданы таким образом, чтобы выглядеть аналогично другим существующим учетным записям в сети, поэтому конкретные имена учетных записей могут отличаться в зависимости от организации», - сообщило ФБР.
ФБР еще раз обратилось к организациям и настоятельно рекомендовало обновить уязвимое оборудование Fortinet. В бюро надеются, что опубликованный им реальный пример станет стимулом для других поскорее установить исправление.
