Hudson Rock dijo que los atacantes procedieron a “interceptar activamente los hashes de autenticación SSL VPN y descifrarlos utilizando un clúster personalizado de 45 GPU administrado a través de Hashtopolis”. A partir de ahí, utilizan un clúster de GPU para descifrar el hash, lo que significa probar una gran cantidad de combinaciones de contraseñas en texto plano hasta encontrar la contraseña correcta. Estas contraseñas permiten a los actores de amenazas moverse lateralmente para comprometer los entornos de Active Directory y otros sistemas de autenticación centralizados.
“Esta metodología agresiva ha tenido consecuencias graves y reales”, dijo Hudson Rock. “La investigación de Diachenko confirmó compromisos de red completos entre organizaciones en Japón, Taiwán, Vietnam, Irak y Turquía. Lo más preocupante es que esto incluyó al contratista de defensa turco de la OTAN cuyos documentos de defensa clasificados el grupo pudo extraer”.
En la entrevista Diachenko lo expresó de forma más concisa. “La escala es la sofisticación”, dijo.
La escala no se detiene ahí. Los atacantes utilizaron un gran clúster para ejecutar un “sistema recursivo de 12 niveles basado en retroalimentación”. En otras palabras, no hay ni una sola ejecución de diccionario plano. Los candidatos a contraseña provienen de un diccionario especial que contiene ocho palabras, patrones de teclado comunes y reglas de descifrado. Cada uno retrocede con cada paso. Cuando una suposición tiene éxito, la contraseña se vuelve a ingresar como semilla para generar más candidatos. En otras palabras, la técnica de craqueo mejora con cada intento exitoso.
“Fueron bastante innovadores en ese sentido”, dijo el investigador.
La innovación contrasta marcadamente con la seguridad operativa de los atacantes, que dejan artefactos en los servidores que utilizan. En los círculos de hackers, este tipo de acciones se consideran errores de aficionados.
Hudson Rock dijo que los principales países que descubrieron dispositivos comprometidos fueron India, Estados Unidos, Taiwán, México, Turquía y Tailandia. Las industrias más afectadas son los servicios de TI, materiales de construcción, telecomunicaciones, construcción e ingeniería, equipos industriales y servicios financieros. Otras organizaciones cuyos datos aparecen en la base de datos incluyen: Foxconn, Samsung, Comcast, Siemens, PwC y Accenture. Hudson Rock dijo que la base de datos enumera miles de personas más, incluidas grandes agencias gubernamentales y proveedores de infraestructura crítica.
Los cortafuegos han sido durante mucho tiempo el punto de entrada a la red favorito de los piratas informáticos. Estos dispositivos reciben conexiones desde Internet exterior, residen en el perímetro de la red y tienen acceso a valiosos recursos internos.
El enlace anterior enumera una serie de pasos que los usuarios del firewall de Fortinet deben seguir para garantizar que su red sea segura. Dado que los datos ya están disponibles para los ciberdelincuentes y otros actores de amenazas, como Diachenko, que los descubren, los riesgos son bastante grandes.
