Hudson Rock je izvijestio da su napadači “aktivno presreli SSL VPN autentifikacijske hashove i razbili ih koristeći masivni, posvećeni klaster od 45 GPU-a upravljan putem Hashtopolisa.” Koristili su GPU klaster za razbijanje hashova, što znači da su isprobavali ogromne kombinacije lozinki dok nisu pronašli pravu. Ove lozinke omogućile su prijetnjama da se kreću lateralno i kompromitiraju Active Directory okruženja i druge centralizirane sustave autentifikacije.
“Ova agresivna metodologija dovela je do ozbiljnih, stvarnih posljedica”, rekao je Hudson Rock. “Diachenkovo istraživanje potvrdilo je potpune kompromitacije mreža u više organizacija širom Japana, Tajvana, Vijetnama, Iraka i Turske. Najalarmantnije je da uključuje turskog NATO obrambenog izvođača iz kojeg su klasificirani obrambeni dokumenti uspješno iskopirani od strane grupe.”
U intervjuu, Diachenko je to sažeo. “Razmjeri su sofisticiranost,” rekao je.
Razmjeri se tu nisu zaustavili. Napadači su koristili masivni klaster za pokretanje “povratno vođenog, 12-nivelskog rekurzivnog sustava.” Drugim riječima, nije postojala samo jedna ravna rječnik. Kandidati za lozinke dolazili su iz prilagođenih rječnika s čak osam riječi, uobičajenih uzoraka na tipkovnici i pravila za razbijanje. Svaka kombinacija se vraćala s svakim korakom. Kada su pogađanja bila uspješna, lozinke su se vraćale kao sjeme za generiranje još kandidata. Drugim riječima, tehnike razbijanja poboljšavale su se s svakim uspješnim pogađanjem.
“Bili su prilično inovativni u tome,” rekao je istraživač.
Inovacija oštro kontrastira s operativnom sigurnošću napadača, koji su ostavili tragove na poslužitelju koji su koristili. U hakerskim krugovima, takvi potezi smatraju se amaterskim pogreškama.
Hudson Rock je rekao da su glavne zemlje u kojima su pronađeni kompromitirani uređaji Indija, SAD, Tajvan, Meksiko, Turska i Tajland. Najviše pogođene industrije uključuju IT usluge, građevinske materijale, telekomunikacije, građevinarstvo i inženjerstvo, industrijsku opremu i financijske usluge. Druge organizacije čiji su podaci pojavili u bazi podataka uključuju: Foxconn, Samsung, Comcast, Siemens, PwC i Accenture. Hudson Rock je rekao da baza podataka navodi tisuće drugih, uključujući velike vladine agencije i pružatelje kritične infrastrukture.
Vatrozidi su dugo bili omiljena ulazna točka za hakere. Ovi uređaji prihvaćaju veze iz vanjskog interneta, nalaze se na perimetru mreže i imaju pristup vrijednim resursima duboko unutar.
Gornji linkovi navode niz koraka koje bi korisnici Fortinet vatrozida trebali poduzeti kako bi osigurali svoje mreže. S obzirom na to da su podaci bili dostupni kibernetičkim kriminalcima i potencijalno drugim prijetnjama koje su, poput Diachenka, otkrile, rizik je značajan.
