SOCRadar hat seinen früheren Bericht zur FortiBleed-Kampagne erweitert und beschreibt nun den technischen Ablauf hinter dem Diebstahl von Zugangsdaten über kompromittierte FortiGate-Geräte. Laut dem nun veröffentlichten Bericht nutzen die Angreifer ein in Go geschriebenes Werkzeug namens „FortigateSniffer“, das die legitime FortiOS-Funktion „diagnose sniffer packet“ missbraucht. Diese eingebaute Diagnosefunktion wird von Administratoren eigentlich zur Fehlersuche bei Verbindungen, Authentifizierung und Netzwerkleistung verwendet.
Nach Darstellung von SOCRadar verschaffte sich der Bedrohungsakteur zunächst per Credential Stuffing und Brute-Force-Angriffen Administratorzugriff auf FortiGate-Systeme. Anschließend habe er das Sniffer-Framework auf den kompromittierten Geräten eingesetzt. Das Werkzeug verbinde sich per SSH mit den Firewalls und starte dort den Befehl „diagnose sniffer packet“, um durchlaufenden Netzwerkverkehr mitzuschneiden.
Das Ziel war laut SOCRadar ausdrücklich das Abgreifen von Zugangsdaten, Passwort-Hashes und weiteren Authentifizierungsgeheimnissen. Der Bericht nennt 24 Protokolle, auf die das Werkzeug ausgerichtet sei. Genannt werden unter anderem RADIUS, NTLM, Kerberos und LDAP. Konfiguriert worden sei der Mitschnitt außerdem für Authentifizierungs- und Fernzugriffsdienste wie SMB, RDP, WinRM, Microsoft SQL Server, MySQL, PostgreSQL, SMTP, IMAP, POP3, FTP und Telnet.
„Das Werkzeug ist darauf ausgelegt, den Verkehr über 24 Protokolle zu überwachen, Authentifizierungsdaten zu analysieren und Zugangsdaten aus Netzwerkströmen zu extrahieren“, zitiert SOCRadar den eigenen Bericht. Die auf den FortiGate-Geräten erfassten Pakete seien anschließend über eine Komponente namens „SNIFTRAN“ verarbeitet worden, die den mitgeschnittenen Verkehr in PCAP-Dateien rekonstruiert habe.
Danach sei ein Python-basiertes „PCAP Deep Analysis Toolkit“ zum Einsatz gekommen. Dieses habe Klartext-Zugangsdaten, Passwort-Hashes, Kerberos-Tickets, NTLM-Authentifizierungsmaterial, E-Mail-Zugangsdaten, Datenbank-Zugangsdaten und weitere Authentifizierungsartefakte aus dem Netzwerkverkehr extrahiert. Zudem habe das Toolkit für Hashcat geeignete Dateien mit NTLM- und Kerberos-Hashes erzeugt und, sofern verfügbar, Klartext-Zugangsdaten aus Protokollen wie SMTP, IMAP, POP3, MySQL und RADIUS herausgezogen.
Zum Knacken der erbeuteten Hashes sollen die Angreifer laut SOCRadar die GPU-basierte Passwortknack-Software Hashcat in einem verteilten GPU-Cluster eingesetzt haben. In einem am Freitag veröffentlichten Update ergänzte der Cybersicherheitsexperte Kevin Beaumont, dass die Angreifer gehashte Zugangsdaten womöglich zusätzlich durch das Herunterladen von FortiGate-Konfigurationsdateien von kompromittierten Geräten erhalten hätten.
Beaumont zufolge wurden die Hashes anschließend mit Hashcat und 36 GPUs der Enterprise-Klasse geknackt. „Das Passwortknacken lief bei einem GenAI-Unternehmen, das GPU-Rechenleistung vermietet“, erklärte Beaumont. Weiter sagte er: „Der Angreifer mietete 36 GPUs der Enterprise-Klasse – mehr, als die meisten großen Organisationen für interne KI-Vorhaben haben – und nutzte sie statt für KI-Aufgaben zum Knacken von Passwörtern. Enterprise-GPUs können Passwörter in großem Maßstab sehr schnell knacken.“ Laut dem Bericht könnten sowohl SOCRadars Erklärung als auch Beaumonts Einschätzung die beobachteten dedizierten GPU-Plattformen auf den Servern der Angreifer erklären.
Fortinet hatte BleepingComputer in der vergangenen Woche noch erklärt, bei dem Vorfall handle es sich um eine Sammlung bereits früher kompromittierter Zugangsdaten und nicht um eine neue Schwachstelle oder einen neuen Vorfall. SOCRadar beschreibt dagegen eine fortlaufende Kampagne, die FortiGate-VPN-Geräte aktiv kompromittiere. Beaumont hat nach eigenen Angaben zudem eine Liste der in dieser Kampagne anvisierten IP-Adressen veröffentlicht.