FBI刚刚报告了一起高级持续威胁(APT)事件,黑客利用未打补丁的Fortinet网络设备中的漏洞对市政府机构的网络造成破坏。根据FBI官网披露的行业警报,相关部门在2021年5月检测到入侵迹象。资料图(来自:Fortinet)事实上,早在2021年4月,另一台Fortinet网络设备被打上补丁后,FBI就已经向美国的私营部门和政府机构发出了类似的黑客攻击警告。当时,FBI指出发起高级持续威胁(APT)的黑客组织正在互联网上扫描受CVE-2018-13379、CVE-2020-12812和CVE-2019-5591影响的Fortinet网络设备漏洞。不幸的是,尽管有早期警告,黑客还是侵入了至少一个组织的内部网络。至少到2021年5月,FBI几乎可以肯定黑客已经入侵了为美国市政府托管域名的网络服务器。在这次特殊的入侵中,攻击者创建了一个名为“elie”的后门帐户,用于从受感染的FortinetVPN设备跳转到受害者的内部网络。一旦获得受害者的内网访问权限,黑客通常会立即创建更多的后门帐户,以进一步控制相关域名、服务器、工作站以及可访问的系统(如ActiveDirectory)。其中一些账户与网络上现有的其他账户相似,因此受害者无法通过命名规则一眼就认出李鬼,但以下账户的嫌疑仍然很高:ellieWADGUtillityAccount目前FBI正在敦促组织对其进行调查Fortinet网络设备正在再次修补,官方希望此类安全警报将比以往任何时候都更加重视。
