Взлом тысяч корпоративных сетей: как 45 GPU сломали защиту Fortinet

Исследователи компании Hudson Rock зафиксировали масштабную кампанию по взлому корпоративных сетей: злоумышленники перехватывали хеши аутентификации SSL VPN и расшифровывали их с помощью специализированного кластера из 45 GPU, управляемого через платформу Hashtopolis. Среди пострадавших — крупнейшие мировые корпорации, государственные ведомства и как минимум один оборонный подрядчик НАТО.

Как работала атака

После перехвата хешей атакующие запускали их через многоуровневый перебор паролей. Это не был стандартный словарный брутфорс: система работала по 12-уровневой рекурсивной схеме с обратной связью. Каждый успешно угаданный пароль немедленно становился «семенем» для генерации новых кандидатов — словари пополнялись автоматически, а правила перебора уточнялись после каждого попадания.

В арсенал входили пользовательские словари длиной до восьми слов, типичные клавиатурные паттерны и наборы правил трансформации. Исследователь Боб Дьяченко, независимо обнаруживший открытый сервер атакующих, охарактеризовал подход лаконично: «Масштаб и есть изощрённость». По его словам, именно вычислительная мощь кластера, а не какие-то принципиально новые алгоритмы, сделала атаку настолько результативной.

Полученные пароли открывали доступ к Active Directory и другим централизованным системам аутентификации. Дальше атакующие двигались по сети горизонтально, захватывая всё новые ресурсы.

Кто пострадал и какие данные утекли

Hudson Rock подтвердила полную компрометацию сетей в нескольких организациях на территории Японии, Тайваня, Вьетнама, Ирака и Турции. Наиболее резонансный случай — турецкий оборонный подрядчик НАТО, у которого были успешно похищены засекреченные документы.

В базе данных, обнаруженной на открытом сервере, фигурировали учётные данные из сетей Foxconn, Samsung, Comcast, Siemens, PwC и Accenture, а также тысяч других организаций — в том числе крупных государственных агентств и объектов критической инфраструктуры. Топ стран по числу скомпрометированных устройств: Индия, США, Тайвань, Мексика, Турция и Таиланд.

Отрасли, пострадавшие сильнее всего: IT-услуги, телекоммуникации, строительство и инжиниринг, промышленное оборудование и финансовые сервисы. Примечательно, что при всей технической изощрённости атаки злоумышленники допустили грубую операционную ошибку — оставили артефакты на собственном сервере, что позволило исследователям его обнаружить. В хакерском сообществе подобные промахи считаются признаком непрофессионализма.

Почему межсетевые экраны остаются уязвимым местом

Фаерволы — традиционно привлекательная цель для атакующих. Они принимают входящие соединения из внешней сети, стоят на периметре инфраструктуры и при этом имеют прямой доступ к внутренним ресурсам. Устройства Fortinet в данном случае стали точкой входа именно потому, что VPN-трафик через них проходит в первую очередь.

Поскольку база с учётными данными находилась в открытом доступе, к ней потенциально могли обратиться и другие злоумышленники — не только исследователи. Это существенно расширяет круг возможных последствий: данные могли быть скопированы ещё до того, как сервер был закрыт.

Что это значит для белорусского бизнеса

Для белорусских IT-компаний и предприятий, работающих с зарубежными партнёрами через VPN, этот инцидент — прямой повод пересмотреть политику аутентификации. Резиденты ПВТ и компании, обслуживающие клиентов в ЕС и США, нередко используют корпоративные VPN-шлюзы на базе решений Fortinet или аналогичных вендоров.

Ключевые меры, которые стоит проверить прямо сейчас: актуальность прошивки на периметровых устройствах, включение многофакторной аутентификации для VPN-доступа, аудит учётных записей в Active Directory на предмет аномальной активности. Атаки на хеши паролей особенно опасны там, где используются слабые или повторяющиеся пароли — именно их рекурсивный алгоритм находит быстрее всего.

Hudson Rock опубликовала список рекомендаций для пользователей Fortinet. Учитывая, что скомпрометированные данные уже находились в открытом доступе, риск для организаций, не принявших защитные меры, остаётся высоким.

— По материалам Ars Technica: оригинальная статья. Перевод и адаптация — редакция Digital Business.