Cisco Talos: новая кампания атакует VPN-сервисы по всему миру

Международная кибербезопасность оказалась под угрозой после того, как эксперты из Cisco Talos обнаружили крупномасштабную кампанию по подбору учётных данных, нацеленную на VPN и SSH-сервисы устройств таких компаний, как Cisco, CheckPoint, Fortinet, SonicWall и Ubiquiti.

Кампания использует метод брутфорса — автоматизированный подбор различных комбинаций имён пользователей и паролей для получения несанкционированного доступа к устройствам и внутренним сетям, поясняет Securitylab. Злоумышленники применяют смешанный набор валидных и универсальных логинов сотрудников конкретных организаций.

По данным исследователей, атаки начались 18 марта 2024 года. Все они исходят из выходных узлов TOR и различных анонимизирующих инструментов и прокси, что помогает участникам избежать блокировки.

«В зависимости от исходной цели эти атаки могут привести к несанкционированному доступу к сети, блокировке учётных записей или условиям для отказа в обслуживании», — предупреждают в Cisco Talos.

Используемые для проведения атак сервисы включают TOR, VPN Gate, IPIDEA Proxy, BigMama Proxy, Space Proxies, Nexus Proxy и Proxy Rack.

В список активно атакуемых сервисов входят:

• Cisco Secure Firewall VPN;
• Checkpoint VPN;
• Fortinet VPN;
• SonicWall VPN;
• RD Web Services;
• MikroTik;
• Draytek;
• Ubiquiti.

Атаки не сосредоточены на какой-то определённой отрасли или регионе, что указывает на стратегию случайных, оппортунистических атак.

Команда Talos опубликовала на GitHub полный список индикаторов компрометации (IoC), включая IP-адреса злоумышленников и список использованных в брутфорс-атаках имён пользователей и паролей.

В конце марта 2024 года Cisco уже предупреждала о волне атак, направленных конкретно на службы удалённого VPN-доступа на устройствах Cisco Secure Firewall. Эти атаки особенно эффективны против слабых политик паролей, так как злоумышленники используют небольшой набор часто встречающихся паролей для множества имён пользователей.

Взаимосвязь между прошлыми атаками и текущей кампанией пока не подтверждена, но специалисты стараются делать всё возможное, чтобы как можно скорее подтвердить или опровергнуть факт связи этой вредоносной активности.