La campagne de cyberespionnage connue sous le nom de FortiBleed, qui a déjà exposé des dizaines de milliers d’identifiants d’équipements Fortinet, franchit une nouvelle étape. Des chercheurs en sécurité ont établi un lien entre l’infrastructure de ce vaste vol de données et les activités des gangs de ransomware INC et Lynx. Cette découverte, rendue publique par la société de cybersécurité SOCRadar, renforce l’hypothèse d’une préparation méthodique d’intrusions visant des entreprises du monde entier.
Une fuite de grande ampleur exploitée à des fins criminelles
Depuis plusieurs semaines, la communauté cyber observe avec inquiétude le développement de FortiBleed. Cette campagne a d’abord été signalée après la découverte d’une base de données centralisant près de 74 000 accès VPN et comptes administrateur de pare-feu FortiGate, tous issus d’équipements Fortinet compromis. Par la suite, il a été révélé que les attaquants avaient détourné une fonction légitime de FortiOS – le système d’exploitation des pare-feu – pour transformer ces appliances en postes d’écoute réseau, permettant ainsi le vol continu d’identifiants.
Connexion avec les ransomware INC et Lynx
Les travaux de SOCRadar ont désormais permis d’identifier des recoupements techniques entre l’infrastructure utilisée pour la campagne FortiBleed et celles déployées par les groupes INC et Lynx. Ces deux entités sont spécialisées dans le déploiement de ransomwares – des logiciels malveillants qui chiffrent les données des victimes avant d’exiger une rançon. Selon les analystes, les artefacts observés dans les systèmes de commande et de contrôle de FortiBleed présentent des similitudes avec ceux employés lors d’attaques antérieures attribuées à INC et Lynx.
Bien que les détails précis de ce rattachement n’aient pas été entièrement divulgués, les experts estiment que les données volées via FortiBleed pourraient servir à faciliter des intrusions ciblées, notamment pour obtenir un accès privilégié aux réseaux d’entreprises avant le déclenchement d’une attaque par ransomware. Cette hypothèse est d’autant plus crédible que les accès administrateur et VPN constituent des portes d’entrée idéales pour des opérateurs de rançongiciels.
Implications pour les organisations
Pour les organisations utilisant des équipements Fortinet, cette information souligne l’urgence de vérifier l’intégrité de leurs configurations et de leurs journaux d’accès. La compromission d’un pare-feu peut en effet offrir aux attaquants une visibilité complète sur le trafic interne et un point d’ancrage discret pour des opérations malveillantes.
Les chercheurs recommandent plusieurs mesures de mitigation : appliquer les correctifs de sécurité dès leur disponibilité, révoquer l’ensemble des identifiants potentiellement exposés, activer l’authentification multi-facteurs sur tous les comptes d’administration, et surveiller activement les logs d’accès pour détecter toute activité suspecte. La découverte du lien avec les ransomwares INC et Lynx pourrait également inciter les autorités à renforcer la coordination internationale face à une menace qui semble s’organiser à une échelle plus vaste que prévu.