De hackers die tienduizenden Fortinet-firewalls wisten te hacken hebben op de gecompromitteerde apparaten het inlogverkeer van 24 verschillende protocollen onderschept, waarmee ze gehashte en onversleutelde wachtwoorden in handen kregen. Dat laat cybersecuritybedrijf SOCRadar in een nieuwe analyse van de aanval weten (pdf). Vorige week werd bekend dat criminelen de inloggegevens van zo'n 74.000 Fortinet-firewalls en vpn-gateways in handen hebben en te koop aanbieden.

Door een open directory konden onderzoekers allerlei informatie over de operatie van de aanvallers achterhalen. In de nieuwe analyse stelt SOCRadar dat de aanval begon met SSH bruteforce-aanvallen waarvoor de aanvallers een eigen lijst met inloggegevens gebruikten. De lijst zou naar verluidt bestaan uit inloggegevens van eerdere datalekken gecombineerd met aangeschafte datasets.

Zodra de aanvallers toegang tot de firewall hadden installeerden ze een netwerksniffer die passief het inlogverkeer van 24 verschillende protocollen onderschept, zoals NetBIOS, SMB, LDAP, SMTP, POP3, IMAP, FTP, Telnet, RDP, Radius en FortiClient. Zodoende kregen de aanvallers gehashte en onversleutelde wachtwoorden in handen. Sommige van de protocollen versturen inloggegevens onversleuteld.

De onderschepte wachtwoordhashes werden vervolgens via een gedistribueerd GPU-cluster gekraakt. Met deze gekraakte wachtwoorden probeerden de aanvallers zich lateraal te bewegen en onder andere toegang te krijgen tot Active Directory en MSSQL-databases. Het uiteindelijke doel is volgens de onderzoekers diefstal van gevoelige data afkomstig van netwerkschijven en het gebruik van gestolen session cookies om toegang tot gehackte omgeving te behouden.