Peneliti keamanan siber memperingatkan adanya "peningkatan signifikan" dalam lalu lintas serangan brute-force yang ditujukan ke perangkat Fortinet SSL VPN.
Aktivitas terkoordinasi tersebut, menurut firma intelijen ancaman GreyNoise, diamati pada tanggal 3 Agustus 2025, dengan lebih dari 780 alamat IP unik berpartisipasi dalam upaya tersebut.
Sebanyak 56 alamat IP unik telah terdeteksi dalam 24 jam terakhir. Semua alamat IP tersebut telah diklasifikasikan sebagai berbahaya, dengan IP yang berasal dari Amerika Serikat, Kanada, Rusia, dan Belanda. Target aktivitas brute-force ini meliputi Amerika Serikat, Hong Kong, Brasil, Spanyol, dan Jepang.
"Yang penting, lalu lintas yang diamati juga menargetkan profil FortiOS kami, menunjukkan adanya penargetan yang disengaja dan tepat terhadap VPN SSL Fortinet," ujar GreyNoise. "Ini bukan aktivitas oportunistik—melainkan aktivitas yang terfokus."
Perusahaan itu juga menunjukkan bahwa mereka mengidentifikasi dua gelombang serangan berbeda yang terlihat sebelum dan sesudah 5 Agustus: Satu, aktivitas kekerasan jangka panjang yang dikaitkan dengan satu tanda tangan TCP yang relatif stabil dari waktu ke waktu, dan Dua, yang melibatkan ledakan lalu lintas yang tiba-tiba dan terkonsentrasi dengan tanda tangan TCP yang berbeda.
"Meskipun lalu lintas pada 3 Agustus menargetkan profil FortiOS, lalu lintas yang ditandai dengan TCP dan tanda tangan klien – sebuah tanda tangan meta – sejak 5 Agustus dan seterusnya tidak lagi menyerang FortiOS," catat perusahaan tersebut. "Sebaliknya, lalu lintas tersebut secara konsisten menargetkan FortiManager kami."
"Hal ini menunjukkan adanya pergeseran perilaku penyerang – kemungkinan infrastruktur atau perangkat yang sama beralih ke layanan baru yang menghadap Fortinet."
Selain itu, pemeriksaan lebih mendalam terhadap data historis yang dikaitkan dengan sidik jari TCP pasca-5 Agustus telah mengungkap lonjakan sebelumnya pada bulan Juni yang menampilkan tanda tangan klien unik yang ditujukan ke perangkat FortiGate di blok ISP perumahan yang dikelola oleh Pilot Fiber Inc.
Hal ini memunculkan kemungkinan bahwa perangkat brute-force tersebut awalnya diuji atau diluncurkan dari jaringan rumah. Hipotesis alternatifnya adalah penggunaan proksi rumah.
Perkembangan ini muncul dengan latar belakang temuan bahwa lonjakan aktivitas berbahaya sering diikuti oleh pengungkapan CVE baru yang memengaruhi teknologi yang sama dalam waktu enam minggu.
"Pola-pola ini hanya ditemukan pada teknologi tepi perusahaan seperti VPN, firewall, dan alat akses jarak jauh – jenis sistem yang sama yang semakin menjadi sasaran pelaku ancaman tingkat lanjut," catat perusahaan tersebut dalam laporan Sinyal Peringatan Dini yang diterbitkan akhir bulan lalu.
Sumber : The Hacker News
0komentar:
Post a Comment