Поделиться
Хакеры ведут масштабную атаку по всему миру против защитных устройств
Злоумышленники серийно торпедируют брутфорс-атаками VPN- и SSH-устройства нескольких производителей по всему миру в надежде получить к ним несанкционированный доступ. Возможно, строится новый ботнет
Бурно и бессистемно
Компания Cisco выпустила бюллетень с предупреждением о масштабной кампании, нацеленной на VPN- и SSH-решения сразу нескольких вендоров. Помимо собственных разработок Cisco, в прицел злоумышленников попали аппаратные продукты CheckPoint, Fortinet, SonicWall и Ubiquiti. Затронута также продукция Mikrotik, Draytek и RD Web Services.
Атаки призводятся по всему миру. Злоумышленники пытаются с помощью брутфорса получить доступ к управляющим консолям, чтобы захватить контроль над устройством и получить доступ к внутренней сети пострадавшей организации.
Как установили эксперты Cisco Talos, в этот раз злоумышленники используют комбинацию всамделишных логинов, используемых работниками атакованных компаний, и пользовательских имён, которые могут считаться наиболее типичными для тех или иных организаций.
Исследователи отметили, что источниками всех атак являются выходные узлы защищённой сети TOR и другие анонимизирующие средства. В числе таковых названы сервисы VPN Gate, IPIDEA Proxy, BigMama Proxy, Space Proxies, Nexus Proxy и Proxy Rack.
Тем самым операторы кампании небезосновательно надеются избежать блокировок.
Атаки начались 18 марта 2024 г. и, как утверждают эксперты, объёмы связанного с ними трафика постоянно растут.
В атаках не прослеживается никаких предпочтений в отношении конкретных отраслей или регионов: судя по всему, они носят сугубо случайный характер.
Финансовая подоплёка
«Можно предположить, что основной целью этих атак является создание ботнета или создание базы точек доступа в корпоративные сети, которыми потом операторы кампании будут торговать», - говорит Михаил Зайцев, эксперт по информационной безопасности компании SEQ. По его словам, и ботнет, и точки доступа являются ходовыми товарами на криминальных кибермаркетах. «Так что, скорее всего, речь идет об исключительно финансовой подоплеке этой кампании», - подытожил Михаил Зайцев.
Talos опубликовали на GitHub списки признаков компрометации IP-адресов, с которых производились атаки, а также логины и пароли, которые использовались в ходе брутфорса.
Ранее, в марте 2024 г. эксперты Cisco публиковали сведения о другой кампании, в ходе которой злоумышленники использовали приём распыления паролей, нацеленных преимущественно на VPN-службы удалённого доступа (RAVPN) в файерволлах Cisco Secure Firewall. Атаки исходили от ботнета под названием Brutus.
Издание Bleeping Computer предположило, что эти две кампании могут быть связаны, но получить подтверждения от Cisco редакторам издания пока не удалось.
Поделиться
Короткая ссылка
