De firewalls van 270 Belgische organisaties zijn getroffen bij een grootschalige aanval op Fortinet-systemen volgens een rapport van Secutec en SOCRadar. Bij 110 bedrijven kunnen aanvallers zich vandaag nog steeds als administrator aanmelden.
Secutec en SOCRadar brengen het aantal Belgische slachtoffers in kaart van een reeks aanvallen op Fortinet-firewalls. Het incident, bekend als ‘FortiBleed’, geldt nu al als één van de grootste cyberaanvallen ooit op een securityleverancier. Wereldwijd zijn meer dan 75.000 firewalls gecompromitteerd en 110 miljoen aanmeldgegevens onderschept. De campagne is vandaag nog steeds actief.
De aanvallers maakten misbruik van het Fortinet-partnerportaal, waar IT-dienstverleners toegang hebben tot klantomgevingen. Door inloggegevens van tienduizenden partners te bemachtigen, kregen hackers toegang tot complete klantennetwerken. Dat verklaart waarom de impact zich verspreidt over verschillende sectoren, van advocatenkantoren tot lokale overheden en scholen.
Gebrekkige beveiliging vergemakkelijkt aanval
Het onderzoek van Secutec en SOCRadar toont ernstige tekortkomingen in de beveiligingspraktijken van getroffen organisaties. Voor geen enkele onderzochte firewall was multifactorauthenticatie geactiveerd. IT-partners gebruikten bovendien vaak identieke wachtwoorden voor meerdere klanten. Vijfentachtig procent van de getroffen systemen draait niet op de nieuwste firmware, waardoor bekende kwetsbaarheden open blijven staan.
Van de 270 getroffen Belgische organisaties zijn 150 firewalls nog steeds rechtstreeks via het internet bereikbaar. Bij 110 daarvan kunnen hackers zich nog altijd met de gestolen administratorrechten aanmelden. Op minstens 45 systemen vond Secutec nieuwe accounts die hackers zelf hebben aangemaakt, wat erop wijst dat toegang wordt voorbereid voor verkoop op het dark web.
Nieuwe aanvalsmethode
FortiBleed illustreert een evolutie in cybercriminaliteit. Waar ransomware-aanvallen vroeger gericht waren op het versleutelen van data, verschuift de focus nu naar het stelen en verhandelen van toegang en gegevens. “In België werden op minstens 45 systemen al nieuwe accounts aangemaakt door de hackers. We stellen vast dat er bij verschillende organisaties wereldwijd al sprake is van grootschalige data-exfiltratie”, zegt Geert Baudewijns, CEO van Secutec.
De aanvallers gebruikten brute force om toegang te krijgen door geautomatiseerd grote hoeveelheden wachtwoorden en gebruikersnamen te combineren. Eenmaal binnen installeerden ze FortigateSniffer, die via de firewall al het netwerkverkeer kan monitoren en inloggegevens onderschept. De buitgemaakte gegevens worden nadien gekraakt en gebruikt om verder door te dringen in interne systemen.
75.000 firewalls gesloopt
De operatie wordt gelinkt aan een Russische groep en is opvallend sterk georganiseerd. De infrastructuur van de aanvallers blijft operationeel, met dagelijks nieuwe compromitteringen. Wereldwijd staat de teller op ongeveer 75.000 getroffen firewalls. Tussen de slachtoffers zitten grote namen zoals Oracle, Lenovo, Samsung en Orange.
Secutec heeft het CCB en Europese nationale CERT’s geïnformeerd. Organisaties die Fortinet-oplossingen gebruiken moeten dringend systemen updaten, multifactorauthenticatie activeren en toegang en accounts controleren.