大规模数据泄露致全球数千敏感网络凭据外泄

安全研究人员近日披露了一起针对 Fortinet 防火墙的大规模入侵事件。此次攻击由俄语背景的黑客实施，受害方包括甲骨文、雪佛龙、联想、联邦快递、一家北约国防承包商以及 Fortinet 公司本身。

安全研究员、SecurityDiscovery.com 负责人鲍勃·迪亚琴科（Bob Diachenko）表示，他在获取攻击者的命令与控制服务器及相关基础设施访问权限后发现，来自 194 个国家超过 21,000 个 IP 地址的近 74,000 台 Fortinet 设备已遭入侵，其明文凭据被公开暴露于网络之上。泄露数据还包含每家受害组织的行业类别、营收规模及员工数量。

独立研究员凯文·博蒙特（Kevin Beaumont）报告称，截至周三上午，"几乎全部"受攻击设备仍处于在线状态。他还证实，通过与攻击者日志中涉及的多家组织核实，相关凭据均为真实有效的现用凭据。在许多情况下，威胁行为者在入侵设备后，进一步渗透至受害组织的集中式身份验证系统，例如 Radius 服务器和微软 Active Directory。根据 Shodan 的扫描统计，本次受攻击设备数量约占所有面向互联网的 Fortinet 防火墙总量的一半。

安全公司 Hudson Rock 在对相关数据进行分析后指出："此次泄露波及全球经济的几乎所有行业，无一幸免。威胁行为者已针对全球最大规模的企业，构建起一套经过验证的有效凭据数据库。"

迪亚琴科、博蒙特及 Hudson Rock 均呼吁 Fortinet 用户立即对自身网络展开排查，以确认是否存在被入侵的迹象。Hudson Rock 还提供了专门用于检索受影响域名的搜索工具。

此次攻击行动的规模异常庞大。据迪亚琴科介绍，该威胁行为者具有明显的犯罪牟利动机。攻击者首先对互联网进行大规模扫描，定位 FortiGate 远程登录入口，随后使用一个具备 25,000 线程的自定义程序，向数十万个终端发起密码喷洒攻击，尝试大量用户名与密码组合。一旦攻击成功，攻击者便在目标组织内部建立起"网络监听节点"。

Hudson Rock 指出，攻击者进一步"主动拦截 SSL VPN 身份验证哈希值，并借助一套由 Hashtopolis 管理的 45 块 GPU 组成的专用计算集群对其进行破解"。通过持续尝试海量明文密码组合，攻击者最终还原出正确密码，进而横向移动，入侵 Active Directory 环境及其他集中式身份验证系统。

Hudson Rock 表示："这一激进的攻击手法已造成严重的现实危害。迪亚琴科的研究证实，日本、台湾、越南、伊拉克和土耳其多个组织已遭到全面入侵。尤为值得警惕的是，其中一家土耳其北约国防承包商的机密国防文件已被该组织成功窃取。"

迪亚琴科在采访中言简意赅地总结道："规模本身就是这次攻击的技术含量所在。"

此次攻击的规模还体现在技术层面。攻击者利用大型计算集群运行"反馈驱动式十二级递归系统"，并非简单的单层字典攻击。密码候选项来源于包含最多八个词汇的自定义词典、常见键盘输入模式以及破解规则，每一轮尝试均循环迭代。一旦某次猜测成功，该密码便会作为"种子"输入系统，用于生成更多候选密码。换言之，每一次成功破解都会进一步优化后续的破解策略。

"他们在这方面颇具创新性。"该研究员表示。

然而，与攻击手法的精妙形成鲜明反差的是攻击者糟糕的操作安全意识——他们在所使用的服务器上留下了大量痕迹，这在黑客圈子里被视为低级失误。

Hudson Rock 指出，受攻击设备数量最多的国家依次为印度、美国、台湾、墨西哥、土耳其和泰国，涉及的主要行业包括 IT 服务、建筑材料、电信、建筑与工程、工业设备及金融服务。数据库中出现的受害组织还包括富士康、三星、康卡斯特、西门子、普华永道和埃森哲等知名企业，以及数千家政府机构和关键基础设施提供商。

防火墙长期以来是黑客入侵网络的首选突破口。这类设备直接接受来自外部互联网的连接，部署于网络边界，同时对内部核心资源拥有访问权限。

鉴于相关数据已在网络犯罪分子之间流传，且可能已被其他威胁行为者（如迪亚琴科一样）获取，此次事件带来的风险不容小觑。Fortinet 防火墙用户应参照相关安全建议，立即采取措施确保网络安全。

Q&A

Q1：这次 Fortinet 防火墙泄露事件影响了哪些知名组织？

A：此次泄露波及范围极广，受害方包括甲骨文、雪佛龙、联想、联邦快递、富士康、三星、西门子、普华永道、埃森哲等全球知名企业，以及一家北约国防承包商和 Fortinet 公司本身。数据库中还涉及数千家政府机构和关键基础设施提供商，覆盖 IT 服务、电信、金融服务等多个行业。

Q2：攻击者是如何破解 Fortinet 防火墙凭据的？

A：攻击者首先大规模扫描互联网，定位 FortiGate 远程登录入口，利用 25,000 线程的自定义程序发起密码喷洒攻击。随后拦截 SSL VPN 身份验证哈希值，并借助 45 块 GPU 组成的专用集群进行破解。他们还采用"反馈驱动式十二级递归系统"，每次成功破解的密码会作为新的种子生成更多候选密码，使破解效率不断提升。

Q3：Fortinet 防火墙用户应如何应对此次安全事件？

A：安全研究员迪亚琴科、博蒙特及 Hudson Rock 均建议 Fortinet 用户立即排查自身网络是否存在被入侵的迹象。用户可通过 Hudson Rock 提供的域名搜索工具确认是否受影响，并参照 Fortinet 官方安全建议采取加固措施。由于泄露数据已在网络犯罪分子之间流传，受影响组织应重点检查集中式身份验证系统（如 Active Directory）是否遭到横向渗透。