FortiBleed: 75.000 Firewalls weltweit kompromittiert

Gleich mehrere Kampagnen haben zehntausende Unternehmensnetzwerke und Milliarden von Nutzerdaten kompromittiert – mit einem klaren Fokus auf Identitätsdiebstahl und administrative Zugänge.

FortiBleed: 75.000 Firewalls offengelegt

Sicherheitsforscher haben eine großangelegte operation namens FortiBleed aufgedeckt. Die Kampagne, die Mitte Juni entdeckt wurde, legte die Administratoren-Zugangsdaten von rund 75.000 Fortinet-Firewalls und VPN-Gateways weltweit offen. Betroffen sind Organisationen in 194 Ländern – die meisten Opfer gibt es in den USA, Indien und Taiwan.

Angesichts massiver Datenlecks bei globalen Unternehmen wird der Schutz der eigenen Infrastruktur zur Existenzfrage. Dieses Gratis-E-Book enthüllt, wie Sie Sicherheitslücken schließen und gleichzeitig neue gesetzliche Anforderungen erfüllen. IT-Sicherheit stärken und Unternehmen proaktiv schützen

Die offengelegten Daten stammen aus Konfigurationsexporten und betreffen über 21.000 einzelne Domains. Zu den betroffenen Unternehmen zählen globale Schwergewichte wie Samsung, Siemens, Chevron, Comcast, AT&T, Oracle und Lenovo. Auch die Beratungsriesen PwC und Accenture sind darunter. Besonders brisant: Ein türkischer NATO-Verteidigungsauftragnehmer wurde kompromittiert, klassifizierte Dokumente wurden abgezogen.

Hinter FortiBleed vermuten Experten eine russischsprachige Gruppe. Die Angreifer setzten auf ausgeklügelte Methoden: Rund 1,16 Milliarden Anmeldeversuche gegen 320.000 FortiGate-Ziele wurden registriert. Ein 45-GPU-Passwort-Knack-Cluster kam zum Einsatz, um ältere SHA-256-Hashes zu entschlüsseln. Die gestohlenen Daten wurden nach Branche und Unternehmensumsatz kategorisiert – ein klares Zeichen, dass sie für sogenannte Initial-Access-Broker aufbereitet werden.

24 Milliarden Datensätze: Die größte Sammlung der Geschichte?

In einem separaten Fund entdeckten Forscher von Cybernews Anfang Juni einen ungeschützten Elasticsearch-Cluster mit 24 Milliarden Datensätzen. Die 8,3 Terabyte große Datenbank enthielt Benutzernamen, E-Mail-Adressen, Login-URLs und Klartext-Passwörter. Die Sammlung war nicht verschlüsselt und vereinte Daten aus 36 verschiedenen Quellen.

Darunter: Infostealer-Malware-Logs und knapp 30 Telegram-Kanäle, die allein 1,7 Milliarden Einträge beisteuerten. Rund 260 Millionen Datensätze trugen das Label Darkside. Die Datenbank war so strukturiert, dass sie sich effizient durchsuchen ließ – ein ideales Werkzeug für Credential-Stuffing und Account-Übernahmen. Nach der Entdeckung am 12. Juni wurde die Datenbank offline genommen.

Nur drei Tage später, am 15. Juni, fügte der Benachrichtigungsdienst Have I Been Pwned 124 Millionen Passwörter und 56 Millionen E-Mail-Konten hinzu. Diese stammen ebenfalls aus Infostealer-Logs – ein Beleg für das gigantische Ausmaß an Zugangsdaten, die von Endgeräten abgeschöpft werden.

SaaS-Plattformen und Industrie im Visier

Der Trend zu identitätsbasierten Angriffen setzte sich diese Woche im Bereich Software-as-a-Service (SaaS) fort. Am 17. Juni deaktivierte Salesforce eine Integration mit Klues Battlecards-Applikation, nachdem Daten gestohlen worden waren. Angreifer hatten über ein kompromittiertes OAuth-Token eines ungenutzten Kontos Zugang erlangt.

Immer mehr Unternehmen werden Opfer von gezielten Angriffen auf ihre digitalen Identitäten – eine Gefahr, die oft im Verborgenen beginnt. Experten erklären im kostenlosen E-Book, wie Sie sich proaktiv absichern, bevor es zu spät ist. Kostenlosen Cyber-Security-Report jetzt herunterladen

Die als Icarus bekannte Erpressergruppe nutzte die REST-API zum Datenabfluss – ein Muster, das bereits bei früheren SaaS-Angriffen zu beobachten war. Auch der Sicherheitsdienstleister Huntress war betroffen.

Aktuelle Forschungsergebnisse vom 19. Juni zeigen: Der verarbeitende Sektor ist zum Hauptziel dieser identitätsbasierten Bedrohungen geworden. Analysten verzeichneten im April einen 47-fachen Anstieg von Dark-Web-Warnungen mit Bezug zur Fertigungsindustrie. Angreifer setzen zunehmend auf Social Engineering statt klassischer Malware: Vishing, CEO-Impersonation und gefälschte Lieferantenportale zur Passwort-Erbeutung sind die neuen Standardmethoden.

Laut Marktforschung wurden bei über 60 Prozent der kritischen Zulieferer Zugangsdaten in Stealer-Logs gefunden. Die Kombination aus offenen Zugängen, gehosteten Phishing-Seiten und Social-Media-Recherche schafft ein hochriskantes Umfeld für Industrieunternehmen. Experten empfehlen: Sofortige Rotation aller Administratorkennwörter, Einführung der Multi-Faktor-Authentifizierung und die Isolation von Verwaltungsschnittstellen vom öffentlichen Internet.

de | wissenschaft | 69583062 |