美國聯(lián)邦調(diào)查局(FBI)剛剛通報(bào)了一起高級(jí)持續(xù)性威脅(APT)事件，可知黑客利用了未經(jīng)修補(bǔ)的 Fortinet 網(wǎng)絡(luò)設(shè)備中的漏洞，對(duì)市級(jí)政府機(jī)構(gòu)的網(wǎng)絡(luò)造成破壞。由 FBI 官網(wǎng)披露的行業(yè)警報(bào)可知，有關(guān)部門在 2021 年 5 月檢測(cè)到了入侵跡象。

資料圖(來自：Fortinet)

其實(shí)早在 2021 年 4 月打上了另一款 Fortinet 網(wǎng)絡(luò)設(shè)備的補(bǔ)丁之后，聯(lián)邦調(diào)查局就已經(jīng)向美國私營部門和政府機(jī)構(gòu)發(fā)出過類似的黑客攻擊預(yù)警。

當(dāng)時(shí) FBI 指出，發(fā)起高級(jí)持續(xù)性威脅(APT)的黑客組織，正在互聯(lián)網(wǎng)上大量掃描受 CVE-2018-13379、CVE-2020-12812 和 CVE-2019-5591 漏洞影響的 Fortinet 網(wǎng)絡(luò)設(shè)備。

遺憾的是，盡管預(yù)警在先，還是有黑客至少突破了一個(gè)組織的內(nèi)部網(wǎng)絡(luò)。至少到 2021 年 5 月的時(shí)候，F(xiàn)BI 幾乎可以肯定有黑客攻擊了托管美國市級(jí)政府域名的網(wǎng)絡(luò)服務(wù)器。

在本次特殊的入侵行動(dòng)中，攻擊者創(chuàng)建了一個(gè)名叫“elie”的后門賬戶，以從受感染的 Fortinet 虛擬專用網(wǎng)設(shè)備跳轉(zhuǎn)到受害者的內(nèi)部網(wǎng)絡(luò)。

一旦獲得了受害者的內(nèi)網(wǎng)訪問權(quán)限，黑客通常會(huì)立即創(chuàng)建更多的后門賬戶，以進(jìn)一步控制相關(guān)域名、服務(wù)器、工作站、以及活動(dòng)目錄之類的可訪問系統(tǒng)。

其中某些賬戶看起來與網(wǎng)絡(luò)上的其它現(xiàn)有賬戶類似，因而受害者無法通過命名規(guī)則來一眼揪出李鬼，但以下幾個(gè)賬戶的嫌疑還是相當(dāng)高的：

• ellie
• WADGUtillityAccount

目前 FBI 正敦促組織機(jī)構(gòu)再次對(duì)其 Fortinet 網(wǎng)絡(luò)設(shè)備加以修補(bǔ)，且官員們希望大家能夠比以往更嚴(yán)肅地對(duì)待此類安全警報(bào)。