حذرت جهات متخصصة في الأمن السيبراني من ارتفاع كبير وملحوظ في حركة المرور من نوع “هجمات القوة الغاشمة” (brute-force traffic) التي تستهدف أجهزة Fortinet SSL VPN. وقد تم رصد نشاط منظم لهذه الهجمات عبر أكثر من 780 عنوان IP مختلف.
وبحسب تقارير حديثة، فإن هذا الارتفاع في الهجمات استهدف بشكل خاص أجهزة Fortinet SSL VPN، مما يثير قلقاً متزايداً بشأن أمن البنية التحتية الحيوية للعديد من المؤسسات. وتأتي هذه التحذيرات في وقت تتزايد فيه التهديدات السيبرانية على مستوى العالم.
تصاعد هجمات القوة الغاشمة على Fortinet SSL VPN
شهدت شبكة الإنترنت مؤخراً ارتفاعاً لافتاً في النشاط الهجومي الذي يعتمد على أسلوب “القوة الغاشمة”، ويتركز هذا النشاط بشكل كبير على أجهزة Fortinet SSL VPN. وقد تمكن باحثون من شركة GreyNoise، المتخصصة في استخبارات التهديدات، من تحديد هذا الاتجاه التحذيري.
وفقاً لبيانات الشركة، شارك أكثر من 780 عنوان IP فريد في هذه الحملة الهجومية المنظمة. وتُظهر المراقبة المستمرة، خلال الأربع والعشرين ساعة الماضية، وجود ما لا يقل عن 56 عنوان IP مختلفاً مشاركاً في هذه الهجمات. وتم تصنيف جميع عناوين IP هذه على أنها خبيثة.
مصادر وحجم الهجمات
تشير التحليلات إلى أن عناوين IP الضارة تنبع من عدة دول، أبرزها الولايات المتحدة الأمريكية، وكندا، وروسيا، وهولندا. وفي المقابل، تتوزع الأهداف الرئيسية لهذه الهجمات على دول مختلفة تتضمن الولايات المتحدة، وهونغ كونغ، والبرازيل، وإسبانيا، واليابان.
وتؤكد GreyNoise أن هذا النشاط ليس عشوائياً، بل هو استهداف متعمد ودقيق لأجهزة Fortinet SSL VPN، ويدل على ذلك حركة المرور الموجهة خصيصاً لملف تعريف FortiOS.
تطور استراتيجيات المهاجمين
رصد الباحثون موجتين مختلفتين من الهجمات. الموجة الأولى، التي سبقت تاريخ 5 أغسطس، اعتمدت على نشاط قوة غاشمة طويل الأمد باستخدام توقيع TCP واحد، وظل ثابتاً نسبياً مع مرور الوقت. أما الموجة الثانية، التي تلت التاريخ المذكور، فقد تميزت بزيادة مفاجئة ومركزة في حركة المرور، مستخدمة توقيع TCP مختلف.
من جهة أخرى، أظهرت التحليلات أنه بعد تاريخ 5 أغسطس، لم تعد حركة المرور التي تحمل بصمات TCP وتوقيعات العميل المستهدفة لـ FortiOS، بل تحولت للتركيز على أجهزة FortiManager. وهذا يشير إلى احتمالية قيام المهاجمين بتغيير استراتيجيتهم، ربما باستخدام نفس البنية التحتية أو الأدوات لاستهداف خدمة أخرى مرتبطة بـ Fortinet.
ارتباطات محتملة بالمواقع السكنية
كشف فحص معمق للبيانات التاريخية عن وجود زيادة سابقة في شهر يونيو، حملت بصمة عميل فريدة، وتم تحديد مصدرها كجهاز FortiGate تابع لشبكة إنترنت سكنية تديرها شركة Pilot Fiber Inc. وهذا يثير احتمال أن تكون الأدوات المستخدمة في هذه الهجمات قد تم اختبارها أو إطلاقها من شبكات منزلية، أو ربما تم استخدام وكلاء شبكة سكنية.
يأتي هذا التطور في سياق تزايد التهديدات الإلكترونية التي تستهدف تقنيات الحافة للمؤسسات، مثل الشبكات الافتراضية الخاصة (VPN)، وجدران الحماية، وأدوات الوصول عن بعد. وهذه الأنظمة غالباً ما تكون الهدف الرئيسي للمهاجمين المتقدمين.
توصيات وإجراءات وقائية
ينصح الخبراء المؤسسات التي تستخدم أجهزة Fortinet SSL VPN بتعزيز إجراءات أمنها، والتحقق من تحديث البرامج الثابتة، واستخدام كلمات مرور قوية وفريدة، وتفعيل المصادقة متعددة العوامل (MFA)، ومراقبة سجلات الدخول بحثاً عن أي نشاط مشبوه. كما يُشار إلى أن ارتفاع النشاط الخبيث غالباً ما يسبق الكشف عن ثغرات أمنية جديدة (CVEs) تؤثر على نفس التقنية.