Các nhà nghiên cứu an ninh mạng tại GreyNoise đã phát hiện sự gia tăng đáng báo động trong các tấn công brute-force Fortinet SSL VPN. Ghi nhận hơn 780 địa chỉ IP duy nhất đã khởi động các cuộc tấn công phối hợp chỉ trong một ngày, đây là khối lượng hàng ngày cao nhất từng được ghi nhận cho loại hình tấn công này trong những tháng gần đây.

Chiến dịch tấn công này cho thấy sự leo thang đáng kể trong việc nhắm mục tiêu vào hạ tầng mạng doanh nghiệp của Fortinet. Những kẻ tấn công đã thể hiện kiến thức chính xác về mục tiêu, thay vì chỉ thực hiện các hoạt động quét dò cơ hội. Quy mô và tính chất tinh vi của chiến dịch tấn công brute-force Fortinet này nhấn mạnh một mối đe dọa mạng đang phát triển, đòi hỏi sự chú ý khẩn cấp từ các tổ chức sử dụng giải pháp của Fortinet.

Phân Tích Chuyên Sâu về Tấn Công Brute-Force Fortinet

Gia Tăng Đột Biến và Phát Hiện của GreyNoise

Sự gia tăng đột biến trong lưu lượng độc hại đã kích hoạt hệ thống phát hiện tấn công brute-force Fortinet SSL VPN của GreyNoise. Dữ liệu cho thấy một sự tăng trưởng đáng kể so với khối lượng tấn công thông thường, với con số 780 địa chỉ IP duy nhất vượt xa các mức độ hoạt động trước đây.

Theo nghiên cứu từ GreyNoise greynoise.io, những đợt tăng cường hoạt động tấn công tập trung như vậy thường đóng vai trò là tín hiệu cảnh báo sớm. Trong lịch sử, 80 phần trăm các trường hợp tương tự thường được theo sau bởi việc công bố các lỗ hổng bảo mật mới ảnh hưởng đến cùng một nhà cung cấp trong vòng sáu tuần.

Mô hình này gợi ý rằng chiến dịch tấn công brute-force Fortinet hiện tại có thể đang khai thác các điểm yếu chưa biết trước trong hệ thống của Fortinet, có khả năng dẫn đến một cảnh báo CVE mới trong tương lai gần.

Đặc Điểm Nhắm Mục Tiêu và Địa Lý

Các cuộc tấn công này đã thể hiện sự nhắm mục tiêu có chủ đích, khác biệt hoàn toàn với các hoạt động quét dò ngẫu nhiên trên diện rộng. Lưu lượng độc hại được ghi nhận tập trung cụ thể vào các cấu hình FortiOS, báo hiệu mức độ tinh vi cao trong việc lựa chọn mục tiêu thay vì chỉ quét dò cơ hội.

Phân tích địa lý cho thấy Hồng Kông và Brazil nổi lên là các quốc gia mục tiêu chính trong vòng 90 ngày qua. Điều này có thể cho thấy sự tập trung hạ tầng quan trọng tại các khu vực này hoặc lợi ích chiến lược cụ thể từ các tác nhân đe dọa.

Diễn Biến Chiến Thuật và Cơ Sở Hạ Tầng Tấn Công

Hai Giai Đoạn Vận Hành Khác Biệt

Phân tích chiến dịch tấn công đã tiết lộ hai giai đoạn vận hành riêng biệt. Giai đoạn đầu tiên bao gồm hoạt động brute-force kéo dài, liên quan đến một chữ ký TCP nhất quán và duy trì mức độ ổn định theo thời gian.

Tuy nhiên, bắt đầu từ ngày 5 tháng 8, các nhà nghiên cứu đã xác định một đợt tăng cường lưu lượng đột ngột và tập trung. Đáng chú ý, đợt này có một chữ ký TCP hoàn toàn khác biệt, đánh dấu một sự thay đổi rõ ràng trong chiến thuật tấn công.

Sự Linh Hoạt Trong Nhắm Mục Tiêu

Quan trọng hơn, những kẻ tấn công đã thể hiện khả năng thích ứng cao bằng cách chuyển trọng tâm từ hệ thống FortiOS sang các cấu hình FortiManager FGFM. Sự chuyển đổi này diễn ra trong khi vẫn duy trì cùng một cơ sở hạ tầng ngầm, cho thấy sự linh hoạt đáng kể.

Sự thay đổi mục tiêu này gợi ý rằng có thể cùng một tác nhân đe dọa đang mở rộng phạm vi tấn công của họ, hoặc có thể là nỗ lực phối hợp sử dụng các bộ công cụ chung. Điều này làm tăng thêm sự phức tạp trong việc phòng thủ chống lại các chiến dịch tấn công brute-force Fortinet này.

Nguồn Gốc Mạng Tiềm Năng và Che Giấu Danh Tính

Cuộc điều tra cơ sở hạ tầng tấn công đã phát hiện ra các nguồn gốc mạng có thể từ mạng dân cư. Cụ thể, một địa chỉ IP đã được phân giải thành một thiết bị FortiGate hoạt động trong một khối IP của nhà cung cấp dịch vụ internet (ISP) dân cư.

Mặc dù điều này có thể chỉ ra hoạt động thử nghiệm từ các mạng gia đình, các nhà nghiên cứu lưu ý rằng nó cũng có thể phản ánh việc sử dụng các dịch vụ proxy dân cư. Việc sử dụng proxy giúp che giấu nguồn gốc tấn công thực sự, làm cho việc truy vết và ngăn chặn trở nên khó khăn hơn đối với các tổ chức bị nhắm mục tiêu bởi các tấn công brute-force Fortinet.

Khuyến Nghị Phòng Ngừa và Giảm Thiểu

Biện Pháp Phòng Thủ Ngay Lập Tức

Các nhà nghiên cứu của GreyNoise khuyến nghị các biện pháp phòng thủ ngay lập tức để giảm thiểu rủi ro từ các cuộc tấn công brute-force Fortinet. Điều này bao gồm việc triển khai tính năng chặn IP động, sử dụng danh sách địa chỉ độc hại được gắn thẻ của GreyNoise. Việc này giúp tự động hóa quá trình ngăn chặn các nguồn tấn công đã biết.

Ngoài ra, các tổ chức cần liên tục giám sát các chữ ký lưu lượng cụ thể liên quan đến chiến dịch này. Việc phát hiện sớm các mẫu lưu lượng bất thường có thể cung cấp cảnh báo kịp thời về các nỗ lực xâm nhập đang diễn ra.

Chuẩn Bị cho Các Tiết Lộ Bảo Mật

Dựa trên các mô hình lịch sử liên kết các đợt tấn công gia tăng với các tiết lộ bảo mật sau đó, các tổ chức nên chuẩn bị sẵn sàng cho việc công bố các bản vá bảo mật tiềm năng trong những tuần tới. Việc chủ động theo dõi các bản tin và thông báo bảo mật từ Fortinet và các nguồn đáng tin cậy khác là rất quan trọng.

Việc nhanh chóng áp dụng các bản vá bảo mật khi chúng được phát hành sẽ giúp bảo vệ hệ thống khỏi các lỗ hổng có thể bị khai thác bởi các tấn công brute-force Fortinet hoặc các hình thức tấn công khác. Duy trì một chiến lược quản lý bản vá mạnh mẽ là yếu tố then chốt để bảo vệ hạ tầng công nghệ thông tin.