РАЗБОР
Хакеры взломали FortiGate: как украли данные тысяч роутеров и шифруют компании
Хакеры использовали уязвимость в роутерах FortiGate, чтобы украсть конфиги и ключи, а затем атаковать внутренние сети. Разбираем детали и даем чек-лист защиты.
Что произошло
В июне 2025 года стало известно о масштабной атаке на роутеры FortiGate от Fortinet. Хакеры смогли получить доступ к конфигурационным файлам тысяч устройств по всему миру. Эти файлы содержали учетные данные, ключи VPN и настройки сетей компаний. Затем злоумышленники использовали эту информацию, чтобы проникнуть во внутренние сети организаций и запустить программы-шифровальщики. Пострадали в основном средние и крупные компании, включая несколько российских. Атака затронула тысячи роутеров, но точное число жертв пока неизвестно.
Как это стало возможным
Уязвимость была обнаружена в веб-интерфейсе управления FortiGate. Она позволяла отправить специально сформированный запрос и получить содержимое конфигурационного файла без авторизации. То есть хакеру не нужно было знать пароль администратора. Достаточно было знать IP-адрес роутера, который часто публикуется в открытых базах или находится сканированием сети. После получения конфига злоумышленники извлекали из него пароли (часто в открытом виде или слабо зашифрованные), ключи VPN и данные о внутренней сети. Затем они подключались через VPN как легитимные пользователи и начинали атаку изнутри.
Схема включала несколько этапов: - Сканирование интернета в поисках уязвимых FortiGate. - Эксплуатация уязвимости для кражи конфигурации. - Извлечение учетных данных и ключей. - Подключение к VPN компании. - Разведка внутренней сети и поиск ценных данных. - Запуск шифровальщика на критических серверах.
Что было видно заранее
Уязвимость была известна производителю еще за несколько месяцев до атаки. Fortinet выпустил патч, но многие администраторы не установили его вовремя. Кроме того, были очевидные признаки того, что роутер скомпрометирован: необычная сетевая активность, подозрительные подключения к VPN, изменения в конфигурации. Но без мониторинга эти признаки легко пропустить. Минимум, который изменил бы исход: своевременная установка обновлений и включение двухфакторной аутентификации для доступа к веб-интерфейсу. Если бы администраторы сделали это, уязвимость была бы закрыта, и хакеры не смогли бы украсть конфиги.
Как распознать похожее
Чтобы понять, что ваш роутер или сетевое устройство атакуют, обратите внимание на такие признаки: - Резкий рост числа неудачных попыток входа в веб-интерфейс. - Появление новых пользователей или необычных VPN-подключений. - Изменения в конфигурации без вашего ведома (например, открытые порты). - Необычный трафик из внешних IP-адресов. - Сообщения от антивируса или системы обнаружения вторжений о подозрительной активности.
Если вы заметили что-то подобное, немедленно проверьте устройство на наличие известных уязвимостей и обновите прошивку.
Что делать
Чтобы защититься от подобных атак, выполните следующие шаги: - Установите последние обновления прошивки на всех сетевых устройствах. Проверяйте наличие патчей хотя бы раз в месяц. - Отключите удаленный доступ к веб-интерфейсу управления, если он не нужен. Если нужен, ограничьте доступ по IP-адресам. - Включите двухфакторную аутентификацию для входа в интерфейс управления. - Используйте сложные пароли и меняйте их регулярно. Не храните пароли в открытом виде в конфигурации. - Настройте мониторинг сетевой активности и оповещения о подозрительных событиях. - Регулярно делайте резервные копии конфигураций и данных. Храните их отдельно от сети. - Проводите аудит безопасности: проверяйте, какие устройства имеют доступ к интернету, и закрывайте ненужные порты. - Обучите сотрудников основам кибергигиены: не переходить по подозрительным ссылкам, не открывать вложения от незнакомцев. - Если вы используете VPN, убедитесь, что он настроен с использованием сертификатов и двухфакторной аутентификации.
Если вы подозреваете, что ваше устройство скомпрометировано, немедленно отключите его от сети, смените все пароли и обратитесь к специалистам по безопасности.