هدف مهاجمان Fortinet از VPNها به ابزار مدیریت تغییر کرد

داده‌های امنیتی نشان می‌دهد مهاجمان پس از حمله گسترده به VPNهای SSL، حالا FortiManager را به‌عنوان هدف اصلی انتخاب کرده‌اند.

به گزارش افتانا، محققان امنیت سایبری نسبت به یک افزایش قابل‌توجه در ترافیک حملات brute-force علیه دستگاه‌های VPN ‌SSL شرکت Fortinet هشدار داده‌اند.

طبق گزارش شرکت اطلاعات تهدید GreyNoise، این فعالیت هماهنگ از سوم اوت ۲۰۲۵ مشاهده شده و بیش از ۷۸۰ آدرس IP منحصربه‌فرد در این حملات شرکت داشته‌اند. در روزهای اخیر نیز ۵۶ آدرس IP منحصربه‌فرد شناسایی شده که همگی به‌عنوان مخرب طبقه‌بندی شده‌اند. منشأ این IPها کشورهای ایالات متحده، کانادا، روسیه و هلند بوده و اهداف آن‌ها شامل آمریکا، هنگ‌کنگ، برزیل، اسپانیا و ژاپن است.

به گفته GreyNoise، «نکته مهم این است که ترافیک مشاهده‌شده، پروفایل FortiOS ما را نیز هدف قرار داده و این نشان‌دهنده هدف‌گیری دقیق و حساب‌شده دستگاه‌های VPN ‌SSL شرکت Fortinet است. این یک حمله اتفاقی نبود، بلکه فعالیتی متمرکز و هدفمند بود.»

این شرکت توضیح داد که پیش و پس از پنجم اوت، دو موج حمله متفاوت دیده شده است. یکی حمله brute-force طولانی‌مدت با یک امضای TCP ثابت که شدت آن تقریباً پایدار بود و دیگری یک موج ناگهانی و فشرده با امضای TCP متفاوت.

به گفته GreyNoise، این تغییر نشان‌دهنده تغییر رفتار مهاجمان بوده و احتمالاً همان زیرساخت یا ابزار، به یک سرویس دیگر مرتبط با Fortinet منتقل شده است.

علاوه بر این، بررسی عمیق‌تر داده‌های تاریخی مربوط به امضای TCP پس از پنجم اوت نشان داد که پیش‌تر در ماه ژوئن نیز یک جهش در ترافیک وجود داشته که با یک امضای کلاینت خاص مرتبط بوده و به دستگاه FortiGate در یک محدوده IP خانگی تحت مدیریت شرکت Pilot Fiber Inc ختم می‌شده است و این احتمال وجود دارد که ابزار brute-force یا ابتدا در یک شبکه خانگی آزمایش شده یا از همان‌جا راه‌اندازی شده باشد. فرضیه دیگر این است که مهاجمان از پراکسی‌های خانگی استفاده کرده‌اند.

این اتفاق در حالی رخ می‌دهد که یافته‌ها نشان می‌دهد افزایش ناگهانی فعالیت‌های مخرب، اغلب ظرف شش هفته با افشای یک آسیب‌پذیری جدید (CVE) در همان فناوری دنبال می‌شود.

GreyNoise در گزارش «سیگنال‌های هشدار زودهنگام» ماه گذشته خود تأکید کرد که این الگوها عمدتاً در فناوری‌های مرزی سازمانی مثل VPN، فایروال و ابزارهای دسترسی از راه دور دیده می‌شوند؛ همان سیستم‌هایی که روزبه‌روز بیشتر در معرض تهدید مهاجمان پیشرفته قرار می‌گیرند.