포티넷 대규모 침해, 74,000개 기기 자격증명 유출
원제: Massive breach spills credentials for thousands of sensitive networks
왜 중요한가
포티넷은 전 세계 주요 기업과 정부기관의 핵심 인프라를 보호하는 방화벽으로, 이번 침해는 국가기반시설 보안 위협의 심각성을 보여주며 대규모 공급망 공격 위험을 드러낸다.
러시아어권 공격자들이 포티넷 방화벽 74,000대를 해킹해 Oracle, Chevron, Lenovo, FedEx, NATO 계약업체 등의 자격증명을 노출시켰다. 194개국 21,000개 이상의 IP 주소에서 공격이 확인됐으며, 보안 연구자 Bob Diachenko가 공격자 명령통제 서버 접근을 통해 적발했다.
보안 연구자들이 포티넷 방화벽에 대한 대규모 침해 사건을 적발했다. SecurityDiscovery.com의 수장인 Bob Diachenko는 공격자들의 명령통제 서버 인프라에 접근해 거의 74,000개의 포티넷 기기가 손상되고 평문 자격증명이 온라인상에 노출된 것을 발견했다. 이는 194개국의 21,000개 이상 IP 주소에 걸쳐있다.
공격 규모는 매우 방대하다. 보안업체 Hudson Rock 분석에 따르면, 공격자들은 인터넷을 광범위하게 스캔해 FortiGate 원격 로그인 지점을 찾은 후 25,000개 스레드가 있는 커스텀 바이너리로 수십만 개 엔드포인트에 수천 개의 로그인·비밀번호 조합을 시도했다. 성공적인 침해 이후 공격자들은 SSL VPN 인증 해시를 적극적으로 가로채고 45개 GPU를 갖춘 거대한 클러스터를 사용해 해시를 크래킹했다.
공격자들은 이를 통해 획득한 비밀번호로 Active Directory 등 중앙 인증 시스템에 침입해 네트워크 내부에서 수평이동했다. 노출된 데이터에는 각 조직의 산업, 수익, 직원 수도 포함됐다. 독립 연구자 Kevin Beaumont는 거의 모든 손상된 기기가 수요일 아침까지도 온라인 상태였으며, 실제 및 현재 자격증명임을 여러 조직과 확인했다고 보고했다.