Координированная атака методом brute force на VPN Fortinet: аналитики обнаружили смену тактики

Две волны атак с разными характеристиками

При анализе трафика за двухнедельный период исследователи выделили две отличающиеся волны атак. Первая волна, продолжавшаяся длительное время, использовала стабильный TCP-сигнатур и демонстрировала предсказуемую активность. Вторая волна началась 5 августа, отличалась резким стартом и совершенно иной TCP-сигнатурой. Именно эта волна привлекла особое внимание специалистов по кибербезопасности.

Неожиданный поворот: смена цели

Исследование показало, что если 3 августа атаки были направлены на профиль FortiOS, то уже 5 августа злоумышленники переключились на FortiManager, сохраняя при этом сигнатуру brute force атак на SSL-VPN. Среди наиболее атакуемых стран за последние 90 дней лидируют Гонконг и Бразилия.

Домашняя IP-сеть как возможный источник

Дополнительный анализ позволил выявить интересную деталь: в июне была зафиксирована активность с уникальной клиентской сигнатурой, связанной с IP-адресом из домашней сети интернет-провайдера Pilot Fiber Inc. Это может указывать либо на тестирование инструментов взлома с домашней сети, либо на использование резидентского прокси. Хотя сервис Spur.us не классифицировал этот адрес как прокси или VPN, в AbuseDB были зафиксированы подозрительные активности, связанные с ним.

Ключевые выводы для специалистов по безопасности

Атаки методом brute force на решения Fortinet продолжают развиваться, демонстрируя изменения в тактике злоумышленников. Аналитики GreyNoise обнаружили переход от атак на FortiOS к целенаправленному воздействию на FortiManager всего через два дня после первоначального всплеска. Использование сигнатур JA4+ позволило связать текущие атаки с более ранними инцидентами и даже выявить возможный резидентский источник.

Эксперты напоминают, что подобные всплески активности часто служат индикатором будущих уязвимостей. Организациям, использующим продукты Fortinet, рекомендуется усилить мониторинг подозрительной активности и своевременно применять обновления безопасности. Список IP-адресов, связанных с последней волной атак, уже опубликован для блокировки.

IPv4

• 104.129.137.162
• 109.196.173.145
• 118.97.151.34
• 154.213.160.215
• 154.213.162.50
• 154.213.163.213
• 154.213.164.99
• 154.213.166.42
• 154.213.166.75
• 154.213.167.102
• 154.213.167.6
• 156.228.101.224
• 156.228.103.121
• 156.228.104.141
• 156.228.104.86
• 156.228.106.101
• 156.228.110.41
• 156.228.113.223
• 156.228.115.201
• 156.228.119.213
• 156.228.124.156
• 156.228.125.172
• 156.228.76.63
• 156.228.78.149
• 156.228.78.33
• 156.228.80.54
• 156.228.82.226
• 156.228.84.37
• 156.228.84.55
• 156.228.91.130
• 156.228.92.5
• 156.228.94.174
• 156.228.94.51
• 156.228.94.67
• 156.228.96.104
• 156.228.98.193
• 156.242.35.44
• 156.242.38.242
• 156.242.42.207
• 156.242.43.34
• 156.242.45.188
• 156.248.80.152
• 156.248.80.50
• 156.248.81.196
• 156.248.83.246
• 156.248.86.140
• 156.248.86.84
• 156.248.87.53
• 178.22.24.14
• 178.22.24.16
• 178.22.24.19
• 178.22.24.22
• 180.254.147.16
• 180.254.155.227
• 185.77.225.174
• 195.26.224.89
• 196.251.88.49
• 20.207.197.237
• 23.120.100.230
• 31.206.51.194
• 45.227.254.113
• 96.67.212.83