logo_site
Whatsapp

Campanha FortiBleed expondo credenciais para 73.932 sistemas FortiGate

Última atualização em 19 de junho.

Um conjunto de dados contendo credenciais administrativas e VPN válidas para dezenas de milhares de firewalls Fortinet FortiGate foi atribuído a um grupo de ameaças de língua russa, com impactos confirmados em governos, infraestruturas críticas e corporações multinacionais. As organizações devem verificar a exposição imediatamente e alternar as credenciais.

O que está acontecendo

Em 13 de junho de 2026, o pesquisador de segurança Volodymyr “Bob” Diachenko relatou o conjunto de dados “FortiBleed”, que supostamente contém credenciais administrativas e VPN SSL válidas para aproximadamente 73.932 URLs de firewall FortiGate em 194 países e mais de 21.600 domínios. Diachenko atribuiu a campanha a um grupo ameaçador de língua russa.

O pesquisador de segurança cibernética Kevin Beaumont e empresa de inteligência de ameaças Rocha Hudson partes posteriormente validadas do conjunto de dados. Beaumont confirmou que as amostras de credenciais administrativas eram autênticas. Muitos dispositivos afetados permaneceram on-line no momento da divulgação, rodando versões recentes do FortiOS e tinham interfaces de gerenciamento expostas à Internet.

As organizações afetadas abrangem setores governamentais, de telecomunicações, de serviços financeiros, de saúde, de manufatura e de infraestrutura crítica, incluindo empresas multinacionais.

Como o ataque foi executado

De acordo com a investigação de Diachenko, os atores da ameaça:

  • Conduziu aproximadamente 1,16 bilhão de tentativas de credenciais contra 320.777 alvos FortiGate
  • Conduziu aproximadamente 2,1 bilhões de tentativas de credenciais em 163.650 sistemas Microsoft SQL Server (MSSQL)
  • Hashes de autenticação SSL VPN interceptados
  • Usou um cluster de 45 GPU gerenciado por Hashtopolis para quebrar hashes e recuperar credenciais de texto simples
  • Acessou ambientes internos do Active Directory usando credenciais recuperadas

Os pesquisadores avaliaram que o conjunto de dados provavelmente se originou de arquivos de configuração exportados do FortiGate, o que permitiu a recuperação de credenciais offline sem acesso contínuo aos dispositivos de destino.

Escala e Impacto

O conjunto de dados FortiBleed abrange organizações em 194 países. Os compromissos confirmados ou relatados incluem organizações no Japão, Taiwan, Vietnã, Iraque e Turquia. Entre os afetados está um empreiteiro turco de defesa da NATO, de quem os agentes da ameaça alegadamente exfiltraram documentos confidenciais.

Por que isso é importante

Vários fatores tornam o FortiBleed um incidente de alta prioridade:

  • Um subconjunto de credenciais foi verificado de forma independente como autêntico
  • Em muitos casos, os dispositivos afetados permanecem on-line sem indicação de correção
  • A escala da campanha (73.932 URLs de firewall, 194 países) torna esta uma das maiores exposições confirmadas de credenciais do FortiGate já registradas
  • A atribuição a um grupo de ameaça de língua russa, combinada com a confirmação de que um empreiteiro de defesa da OTAN tem como alvo, aumenta a probabilidade de objectivos de espionagem juntamente com o acesso oportunista.
  • A metodologia de cracking offline significa que as organizações podem não ter registros do roubo inicial de credenciais

Cronograma de Eventos

  • 13 de junho de 2026: O pesquisador Volodymyr Diachenko relata publicamente o conjunto de dados FortiBleed e atribui atividade a um grupo de ameaças de língua russa
  • 13 de junho de 2026: Kevin Beaumont publica análise confirmando que as amostras de credenciais são autênticas; observa que muitos dispositivos afetados permanecem online e expostos à Internet
  • 13 de junho de 2026: Hudson Rock valida partes do conjunto de dados e lança um ferramenta gratuita de pesquisa FortiBleed para organizações verificarem a exposição do domínio

Análise Independente Futura Registrada

Os analistas do Grupo Insikt identificaram atividades maliciosas originadas no endereço IP 85[.]11[.]187[.]8, que está ligado aos ataques FortiBleed, durante a análise interna e associou-o ao AS211486 dentro do 85[.]11[.]187[.]Faixa 0/24. Os analistas observaram atividade HTTP na porta 9999 em 7 de junho de 2026, e SSH, VNC, RDP e atividades adicionais relacionadas à captura de ataques de 14 a 15 de junho de 2026.

Os artefatos identificados nesta infraestrutura eram consistentes com uma coleta completa de credenciais e um fluxo de trabalho de intrusão subsequente, incluindo:

  • Um log sniffer associado à captura de credenciais Fortinet (fg_capture.log);
  • Quebra de arquivos de orquestração vinculados a tarefas coordenadas por Hashcat, Hashtopolis e Telegram (bot.py, hashpanel.log, setup_hashcat.sh e setup_hashtopolis.sh;
  • Scripts de enumeração Active Directory e LDAP (ad_enum.py e ad_full_audit.py);
  • Ferramentas de pulverização de senha (spray_*.sh, spray_*.py e spray_results.txt);
  • Scripts de coleta SMB/DFS com capacidade de exfiltração em estágios backup_dfs.py, backup_dfs2.py, spider.py e smb_test.py); e
  • Marcadores de compensação de registros também estavam presentes, indicando esforços para remover evidências de atividade.

Uma postagem no blog PwnDefend de 18 de junho de 2026 corroborou essas descobertas ao identificar de forma independente 85[.]11[.]187[.]8 como IP de origem associado à campanha FortiBleed. A sobreposição entre as descobertas internas do Grupo Insikt e os relatórios públicos subsequentes aumenta a confiança na associação deste IP com a coleta de credenciais, cracking e atividades subsequentes de acesso à rede relacionadas ao FortiBleed.

O que você precisa fazer agora

Ações imediatas se sua organização administra o Fortinet:

  • Alterne todas as credenciais de administrador do FortiGate e SSL VPN imediatamente
  • Aplique a autenticação multifator em todos os acessos remotos e administrativos
  • Revise os logs do Fortinet para logins incomuns, sessões de administração, alterações de configuração e novas contas. Considere substituir dispositivos que apresentam atividades suspeitas.
  • Restringir ou remover a exposição na Internet para interfaces de gerenciamento
  • Patch FortiOS e revise as configurações de proteção
  • Procure comprometimento downstream dentro da rede se credenciais expostas estiverem em uso

Os futuros clientes registrados com domínios afetados receberão alertas automatizados de credenciais se sua organização estiver no conjunto de dados à medida que as fontes são ingeridas na plataforma. Os clientes podem encontrar a fonte principal na plataforma como Vazamento de credencial de URL, login e senha (ULP) do FortiBleed.

Os clientes do Recorded Future podem acessar a nota completa do analista e o cartão FortiBleed Intelligence no portal Recorded Future para obter indicadores adicionais, contexto da organização afetada e detalhes de atribuição do agente da ameaça.

Saiba como ficar à frente das ameaças emergentes. Entenda todas as vulnerabilidades críticas que podem estar afetando sua organização. Fale hoje mesmo com nossos especialistas em inteligência de ameaças.

Source link

logo_site

Temos Detetives particulares em vários locais e estados, ampliando nossa busca por informações.

Facebook Linkedin Twitter
Copyright © 2022, All rights reserved. Present by DetetiveHacker