Ugniasienė (angl. firewall) – tai kibernetinio saugumo sistema, kuri kontroliuoja duomenų srautą tarp skirtingų tinklų. Kitaip tariant, tai yra filtras, kuris saugo tinklą nuo nepageidaujamų ar pavojingų jungčių.
Ši plačiai paplitusi įsilaužimų kampanija, kuri vis dar vyksta ir buvo pavadinta „FortiBleed“, atrodo, nesiremia jokios nežinomos pažeidžiamumo išnaudojimu tiksliniuose įrenginiuose, o veikiau paprastesne problema: įmonės gali nekeisti ugniasienių slaptažodžių ir neužtikrinti, kad prisijungimo duomenys, naudojami internetui atviruose jautriuose sistemose, nebūtų jau žinomi įsilaužėliams.
Šios kampanijos metu įsilaužėliai pirmiausia naudoja automatizuotus įrankius, kad nuskenuotų internetą ieškodami atvirų „Fortinet“ ugniasienių ir VPN. Tuomet jie įsilaužia į įrenginius pasinaudodami anksčiau nutekintų slaptažodžių sąrašais. Po to kibernetiniai nusikaltėliai gali pavogti dar jautresnius duomenis iš nukentėjusių įmonių, savo šią savaitę paskelbtose ataskaitose rašė kibernetinio saugumo bendrovės „Hudson Rock“ ir „SOCRadar“.
„Kai įrenginys kompromituojamas, [įsilaužėliai] jį naudoja kaip klausymosi postą, stebėdami praeinantį srautą ir rinkdami bet kokius papildomus prisijungimo duomenis, kurie praeina. Šie naujai surinkti slaptažodžiai tuomet grąžinami atgal į skenerį, kad būtų kompromituojama dar daugiau įrenginių. Sistema pati save maitina“, – rašė „SOCRadar“.
„Fortinet“ atstovė spaudai Tiffany Curci portalui „TechCrunch“ teigė, kad bendrovė „žino apie praneštą trečiosios šalies prisijungimo duomenų rinkimo kampaniją, nukreiptą į „Fortinet“ ugniasienes ir VPN tinklus“. „Fortinet“ teigė, kad, remiantis jos analize, susiję duomenys yra „ankstesnių incidentų duomenų pakartotinis paviešinimas, taip pat slaptažodžių atakos brutalia jėga (bruteforcing), ir nėra susiję su jokiu nauju incidentu ar įspėjimu“.
„Hudson Rock“ teigė radusi įrodymų, kad daugiau nei 73 000 unikalių „Fortinet“ URL buvo įsilaužta, o „SOCRadar“ teigė, kad bendras pažeistų įrenginių skaičius viršija 30 000.
Anot „Hudson Rock“, tarp nukentėjusių įmonių yra: „Accenture“, „Comcast“, „Foxconn“, „Lenovo“, „Oracle“, „Samsung“, „Siemens“ ir „PwC“.
„Lenovo“ atstovas spaudai patvirtino gavęs „TechCrunch“ užklausą, tačiau į ją neatsakė. Kitos minėtos įmonės taip pat neatsakė į užklausas dėl komentaro.
Abiejų bendrovių teigimu, šalys, kuriose paveikta daugiausia įrenginių, yra Indija, Jungtinės Valstijos, Taivanas ir Meksika. Tačiau jos teigia, kad aukų yra visame pasaulyje. Kalbant apie pramonės šakas, labiausiai paveiktos yra IT paslaugos, statybinių medžiagų sektorius ir telekomunikacijos, teigia „Hudson Rock“. Pasak „SOCRadar“, tarp aukų yra ir vyriausybinės agentūros. Abi kibernetinio saugumo bendrovės teigė, kad kampaniją vykdanti grupė, atrodo, yra rusakalbė.
„Hudson Rock“ ir „SOCRadar“ ataskaitos remiasi rastu „Fortinet“ įrenginių ir susijusių įmonių prisijungimo duomenų sąrašu. Šią įsilaužimų kampaniją pirmasis per savaitgalį paviešino saugumo tyrėjas Bobas Diachenko. Nepriklausomas kibernetinio saugumo tyrėjas Kevinas Beaumontas savo tinklaraščio įraše trečiadienį teigė išanalizavęs duomenis ir patvirtinęs, kad jie yra „tikri“.
Pastaraisiais metais kelios įsilaužimų kampanijos taikėsi į „Fortinet“ įrenginius ir juos kompromitavo, dažniausiai išnaudodamos jų pažeidžiamumus. Tačiau šiuo atveju įsilaužėliai remiasi nutekėjusiais slaptažodžiais – paprastesne ir mažiau sudėtinga atakos forma.
Yra ir lietuviškų vardų
Pasak portalo delfi.lt, į nukentėjusių sąrašą pateko 9 „lt“ domenai ir 14 organizacijų, kurių įrenginiai fiziškai yra Lietuvoje, tarp jų ir viena valstybinė įstaiga.
Į kibernetinių nusikaltėlių akiratį, pasak portalo, buvo patekusi bendrovė „Telia“, Valstybinė teritorijų planavimo ir statybos inspekcija vtpsi.lt, keletas statybos įmonių, baldų parduotuvė, elektroninės prekybos tinklai ir kt.
„Baltimax“ vyresnysis kibernetinio saugumo inžinierius ir ESET ekspertas Lukas Apynis pabrėžia, kad nors šįkart kalbama ne apie naują kritinę saugumo spragą, o apie nutekėjusių prisijungimo duomenų panaudojimą, pasekmės organizacijoms gali būti labai rimtos.
„Patekus prie VPN prisijungimų, įsilaužėliai gali patekti į organizacijos vidinį tinklą. Toliau viskas priklauso nuo to, kaip jis apsaugotas – jeigu taikoma tinklo segmentacija, papildomi saugumo sprendimai ir nuolatinė stebėsena, ataką dar galima sustabdyti. Tačiau jei tokių apsaugos priemonių nėra, nusikaltėliai gali pasiekti vidinius serverius, duomenų bazes ir kitus jautrius organizacijos išteklius“, – 15min sakė L.Apynis.
Anot jo, didžiausia rizika kyla toms organizacijoms, kurios naudoja tik VPN sprendimą, tačiau nėra įsidiegusios papildomų saugumo priemonių.
„Tokiu atveju įsilaužėliai, gavę darbuotojo prisijungimo duomenis, gali apsimesti teisėtu naudotoju ir patekti į organizacijos vidų. Tai galima palyginti su fiziniu įsilaužimu į pastatą – jei jau patekai į vidų, tolesnės pasekmės priklauso nuo to, kiek dar yra apsaugos sluoksnių“, – aiškino ekspertas.
Jis pabrėžia, kad organizacijoms būtina nedelsiant peržiūrėti prieigos valdymą, atnaujinti sistemas, keisti galimai kompromituotus prisijungimo duomenis ir taikyti kelių lygių apsaugos priemones, nes vien slaptažodžio nebepakanka apsisaugoti nuo tokių atakų.
VTPSI: duomenų nutekėjimo ar kitų kibernetinio incidento požymių nenustatyta
15min kreipėsi komentarų į „Telia“.
Tuo metu VTPSI informavo, kad 2026 m. birželio 18 d., gavusi Nacionalinio kibernetinio saugumo centro pranešimą apie „Fortinet“ ugniasienes ir VPN įrenginius, kurie galėjo būti kompromituoti vykdant „FortiBleed“ kampaniją, atliko veiksmus pagal nustatytus incidentų valdymo ir informacijos saugumo protokolus. Pasak VTPSI, atlikus išsamų naudojamų sistemų ir įrangos patikrinimą, kompromitavimo, neteisėtos prieigos, duomenų nutekėjimo ar kitų kibernetinio incidento požymių nenustatyta.
