美國聯邦調查局(FBI)剛剛通報了一起高級持續性威脅(APT)事件,可知黑客利用了未經修補的 Fortinet 網絡設備中的漏洞,對市級政府機構的網絡造成破壞。由 FBI 官網披露的行業警報可知,有關部門在 2021 年 5 月檢測到了入侵跡象。
資料圖(來自:Fortinet)
其實早在 2021 年 4 月打上了另一款 Fortinet 網絡設備的補丁之後,聯邦調查局就已經向美國私營部門和政府機構發出過類似的黑客攻擊預警。
當時 FBI 指出,發起高級持續性威脅(APT)的黑客組織,正在互聯網上大量掃描受 CVE-2018-13379、CVE-2020-12812 和 CVE-2019-5591 漏洞影響的 Fortinet 網絡設備。
遺憾的是,儘管預警在先,還是有黑客至少突破了一個組織的內部網絡。至少到 2021 年 5 月的時候,FBI 幾乎可以肯定有黑客攻擊了託管美國市級政府域名的網絡服務器。
在本次特殊的入侵行動中,攻擊者創建了一個名叫“elie”的後門賬戶,以從受感染的 Fortinet 虛擬專用網設備跳轉到受害者的內部網絡。
一旦獲得了受害者的內網訪問權限,黑客通常會立即創建更多的後門賬戶,以進一步控制相關域名、服務器、工作站、以及活動目錄之類的可訪問系統。
其中某些賬戶看起來與網絡上的其它現有賬戶類似,因而受害者無法通過命名規則來一眼揪出李鬼,但以下幾個賬戶的嫌疑還是相當高的:
● ellie
● WADGUtillityAccount
目前 FBI 正敦促組織機構再次對其 Fortinet 網絡設備加以修補,且官員們希望大家能夠比以往更嚴肅地對待此類安全警報。