Los piratas informáticos de APT piratearon el gobierno local de EE. UU. Explotando errores de Fortinet

La Oficina Federal de Investigaciones (FBI) dice que atacantes patrocinados por el estado piratearon el servidor web de un gobierno municipal de EE. UU. Después de piratear un dispositivo Fortinet.

"Al menos en mayo de 2021, es casi seguro que un grupo de actores de APT aprovechó un dispositivo Fortigate para acceder a un servidor web que aloja el dominio de un gobierno municipal de EE. UU.", Dijo la División Cibernética del FBI. TLP: advertencia de flash BLANCO lanzado hoy.

Después de obtener acceso al servidor de la organización del gobierno local, los actores avanzados de amenazas persistentes (APT) se movieron lateralmente a través de la red y crearon nuevas cuentas de usuario para controladores de dominio, servidores y estaciones de trabajo que imitaban a las existentes.

El FBI también observó a los atacantes asociados con esta actividad maliciosa de APT en curso que creaban cuentas "WADGUtilityAccount" y "elie" en sistemas comprometidos.

Según el FBI, este grupo de APT probablemente utilizará este acceso para recopilar y extraer datos de la red de las víctimas.

"Los actores de la APT están apuntando activamente a una amplia gama de víctimas en múltiples industrias, lo que indica que la actividad se centra en explotar vulnerabilidades en lugar de apuntar a sectores específicos", agregó el FBI.

Esta no es la primera advertencia

El FBI y CISA también advirtieron el mes pasado sobre grupos de piratas informáticos patrocinados por el estado que habían obtenido acceso a dispositivos Fortinet al explotar CVE-2018-13379, CVE-2020-12812, es CVE-2019-5591 Vulnerabilidades de FortiOS.

Los actores de amenazas también están enumerando los servidores sin parches para CVE-2020-12812 y CVE-2019-5591 y están escaneando dispositivos vulnerables CVE-2018-13379 en los puertos 4443, 8443 y 10443.

Una vez que violan un servidor vulnerable, los usarán en futuros ataques dirigidos a redes en los sectores de infraestructura crítica.

"Los actores de APT pueden utilizar otros CVE o técnicas de explotación comunes, como el spearphishing, para obtener acceso a redes de infraestructura crítica y prepararse para ataques posteriores", dijeron las dos agencias federales.

"Los actores de APT históricamente han explotado vulnerabilidades críticas para realizar ataques de denegación de servicio distribuido (DDoS), ataques de ransomware, ataques de inyección SQL (SQL), campañas de spearphishing, desfiguración de sitios web y campañas de desinformación".

El FBI y CISA también han compartido medidas de mitigación para bloquear los intentos de compromiso en estos ataques en curso patrocinados por el estado.

Dispositivos de Fortinet muy atacados por los actores de APT

A lo largo de los años, los piratas informáticos patrocinados por el estado se han dirigido continuamente a servidores Fortinet sin parches.

Abusaron de la vulnerabilidad de Fortinet SSL VPN CVE-2018-13379 para comprometer los sistemas de apoyo electoral de EE. UU. Expuestos a Internet.

Un actor de amenazas compartió en noviembre de 2020 una lista de vulnerabilidades CVE-2018-13379 de una línea que podrían usarse para robar credenciales de VPN para aproximadamente 50,000 servidores VPN de Fortinet, incluidos gobiernos y bancos.

A principios de este año, Fortinet solucionó varias vulnerabilidades graves que afectaban a muchos de sus productos.

Los problemas solucionados incluyen errores de ejecución remota de código (RCE), inyección SQL y denegación de servicio (DoS) que afectan a los productos FortiProxy SSL VPN y FortiWeb Web Application Firewall (WAF).