Fortinet har to gange afvist, at den lyssky operation FortiBleed er andet end genbrug af gammel data og rutinemæssige bruteforce-forsøg.
En ny rapport fra det amerikanske cyberfirma SOCRadar tegner et andet billede.
Selskabets analytikere peger på en aktiv operation, der mens rapporten skrives stadig aflytter omkring 19.000 Fortinet-firewalls verden over og har høstet over 110 millioner adgangskoder.
Kernen i kampagnen er et specialbygget værktøj, som SOCRadar kalder FortigateSniffer. Det er skrevet i programmeringssproget Go, og brugerfladen er på russisk. I stedet for at installere skadelig kode misbruger det en funktion, der allerede ligger i Fortinets eget styresystem, skriver selskabet.
Resultatet er, at den brandmur, der skulle holde det digitale skidt ude, bliver vendt om til en aflytningspost. Hver gang en medarbejder logger ind bag firewallen, kan koden læses med.
Værktøjet lytter ifølge SOCRadar på 24 protokoller, og en indbygget tidsplan sørger for, at det kun kører i arbejdstiden, mellem 07.00 og 18.00 Moskva-tid, så aktiviteten drukner i den normale trafik.
Mens SOCRadar er tilbageholdende med at attribuere den omfattende kampagne til en specifik gruppe, vurderer selskabet, at der sandsynligvis er tale om en russisktalende initial access broker (IAB), som lever af at videresælge adgangskortet til andre i det cyberkriminelle miljø som ransomware-bander eller statshackere.
Computerworld kunne i sidste uge fortælle, at Rigspolitiets domæne og 30 danske it-huse stod på listen over ramte.
Mindre it-huse i sigtekornet
SOCRadar peger på netop it-branchen som et hovedmål, fordi en kompromitteret leverandør åbner vejen ind til kundernes netværk længere nede i kæden. Samtidig understreger efterforskerne, at særligt mindre it-huse er i sigtekornet.
Det var præcis den risiko, cybereksperten Morten von Seelen fra Truesec advarede om, da en enkelt lækket nøgle ifølge ham kan række langt ned i kundekæden. Samtidig understregede han et væsentligt forbehold ved listen.
"Listen er et øjebliksbillede. Den viser, hvad angriberne havde indsamlet på et tidspunkt, ikke hvordan det ser ud i dag. Flere af virksomhederne kan allerede have skiftet adgangskoder eller udskiftet udstyr, ikke mindst nu hvor sagen er offentlig", sagde han.
SOCRadar skriver, at selskabet har fået bekræftet, at operationen har betydet et indbrud hos en forsvarsleverandør med tilknytning til Nato, hvor backupdata er trukket ud den 15. juni.
Til at knække koderne lejede angriberne sig ind på kraftige grafikkort.
Den digitale efterforsker Kevin Beaumont, der har fulgt sagen, skriver, at kodeknækningen kørte hos en virksomhed, der ellers udlejer regnekraft til kunstig intelligens. I operationen finder SOCRadar desuden spor af et AI-drevet hackerværktøj ved navn CyberStrike.
Fortinets danske landechef, Anette Vainer, ville ikke stille op til interview til Computerworlds tidligere dækning, og det globale kommunikationsteam afviste at svare på, hvorfor halvdelen af selskabets internetvendte firewalls endte på listen.
Selskabets officielle linje er fortsat, at der er tale om gammel data og kunder, der ikke har skiftet kode.
SOCRadar skriver, at dele af infrastrukturen stadig kører, mens rapporten bliver offentliggjort.
