FortiBleed ги таргетираше FortiGate заштитните ѕидови во операција за собирање 110 милиони акредитиви

Објавено: 24.06.2026

Се проценува дека зад големата операција за собирање акредитиви позната како FortiBleed стои посредник за почетен пристап (Initial Access Broker – IAB) кој зборува руски јазик и е мотивиран од финансиска добивка. Операцијата таргетирала повеќе од 430.000 FortiGate заштитни ѕидови ширум светот.

Кампањата, активна од февруари 2026 година, вклучува собирање листи со кориснички податоци за најава, пребарување на изложени услуги, brute-force напади врз достапни системи и поставување специјално развиени „sniffer“ алатки на компромитираните заштитни ѕидови.

„Откако ќе бидат инсталирани, овие sniffer-и ги пресретнуваат и собираат акредитивите во чист текст и хеширана форма од сообраќајот што поминува низ компромитираните уреди“, наведува SOCRadar во својот најнов извештај. „Потоа напаѓачите ги кршат (дешифрираат), ги валидираат и повторно ги користат акредитивите против Active Directory домени и други изложени услуги.“

Во центарот на операцијата е алатка базирана на Golang наречена FortigateSniffer, која ја искористува вградената дијагностичка команда на FortiOS, diagnose sniffer packet, за пасивно пресретнување на автентикацискиот сообраќај од заразените уреди. Алатката постои во верзии за Windows и Unix и е дизајнирана да следи сообраќај преку 24 различни протоколи, да ги анализира податоците за автентикација и да ги извлекува корисничките акредитиви.

Постојат сомневања дека заканувачките актери можеби користеле помош од отворената, AI-ориентирана офанзивна безбедносна платформа CyberStrike за одредени делови од процесот. Интересно е што друга рамка со отворен код, CyberStrikeAI, била користена во посебна автоматизирана кампања за масовно скенирање на FortiGate уреди, која беше откриена од Amazon Threat Intelligence порано оваа година.

„Кампањата покажува силен фокус на мали и средни претпријатија (SMB) со помалку од 200 вработени“, објаснува SOCRadar. „Напаѓачот таргетира повеќе сектори и региони, со особено внимание кон САД и Индија. Секторот на ИТ услуги се чини дека е една од главните цели. Овој избор најверојатно му овозможува на напаѓачот да го максимизира понатамошниот пристап, бидејќи компромитираните даватели на услуги можат да отворат патишта за пристап до околините на нивните клиенти.“

Можеби најинтересното откритие е дека FortiBleed изгледа како дел од поширока, повеќепроизводителска операција за обезбедување почетен пристап. Операцијата не е насочена само кон уредите на Fortinet, туку и кон пробивање на Synology NAS системи, Sophos заштитни ѕидови, RDWeb портали, Citrix SSL-VPN решенија и MS-SQL сервери преку автоматизирани brute-force напади од 28 февруари 2026 година.

Вкупно, се проценува дека напаѓачите спровеле најмалку 659 операции за собирање акредитиви помеѓу 31 мај и 15 јуни 2026 година, што резултирало со идентификација на повеќе од 110 милиони акредитиви. Меѓу нив се:

14,8 милиони RADIUS (Remote Authentication Dial-In User Service) акредитиви
924.000 NTLM хешови
130.000 Kerberos хешови
89 милиони MySQL токени за автентикација

Петте фази на кампањата FortiBleed

1. Масовно извидување (Reconnaissance)

Напаѓачите користат алатки како Masscan и Shodan за да идентификуваат ранливи FortiGate заштитни ѕидови изложени на интернет. Потоа користат сопствени алатки наречени FortiProbe-fast и GeoSplit за филтрирање на FortiGate системите и нивно групирање по држави.

2. Компромитирање на уредите

Уредите се напаѓаат со алатка за проверка на акредитиви наречена forticheck, која конкретно ги таргетира административниот панел на FortiGate и SSL-VPN порталот. Дополнително се користат техники како credential stuffing и речнички напади (dictionary attacks) за добивање административен SSH пристап.

3. Пресретнување на автентикацискиот сообраќај

Откако ќе се воспостави SSH пристап, се инсталира FortigateSniffer, кој пасивно го следи автентикацискиот сообраќај преку 24 различни протоколи, меѓу кои:

TACACS+
Kerberos
RPC
SMB
LDAP
SMTP
FTP
Telnet
RDP
WinRM
MS-SQL
MySQL
PostgreSQL
RADIUS

Со користење на вградените дијагностички команди на FortiOS, алатката собира лозинки во чист текст и хешови на лозинки.

4. Кршење на лозинките и странично движење

Собраните хешови се дешифрираат со помош на алатките Hashmat и Hashtopolis, координирани преку Telegram бот наречен HASHBOT. Добиените акредитиви потоа се користат за:

странично движење низ мрежата (lateral movement),
набројување на Active Directory објекти,
валидација на Kerberos автентикација,
SMB автентикација.

5. Кражба на податоци и одржување пристап

Чувствителни податоци од мрежните споделени ресурси се извлекуваат, додека украдените сесиски колачиња (session cookies) се користат за одржување на долгорочен автентициран пристап.

SOCRadar наведува:

„Групата не ги третира сите цели подеднакво. Наместо тоа, целите се рангираат според нивната економска вредност пред да се распределат ресурсите за експлоатација.“

Географски и временски ограничувања

Механизмот за пресретнување вклучува гео-оградување (geofencing) кое ги ограничува операциите на одредени IP опсези. Дополнително, активностите се извршуваат само помеѓу 07:00 и 18:00 часот по московско време.

Според временската линија објавена од SpyCloud, циклусот за собирање податоци од FortiGate уредите започнал на 19 мај 2026 година, додека инфраструктурата за кршење на хешовите била поставена кон крајот на месецот.

Автоматизирана инфраструктура

Според компанијата ZenoX:

„Операцијата функционира во циклуси од 300 минути (пет часа), со ажурирање на статусот секоја минута. Во секој циклус се вчитува регионална листа на цели и се врши валидација со 1.000 паралелни нишки (threads), при што се прикажуваат броила за успешни, неуспешни, истечени и предупредувачки резултати. Во првите циклуси стапката на успешна валидација беше близу 90%.“

Можно поставување на тајни „бекдор“ сметки

Бразилската компанија за сајбер-безбедност ZenoX открила дека одредени комбинации на кориснички имиња и лозинки се повторуваат на илјадници различни IP адреси, што отвора можност тие сметки намерно да биле поставени од напаѓачите како скриени точки за повторен пристап.

Според коосновачот на ZenoX, Акасио Силва:

комбинацијата adminin:ITAdmin@888 била пронајдена на 3.947 различни уреди;
во европската листа на цели (EU.txt) истата комбинација се појавувала на 1.562 уреди од вкупно 6.175 записи.

Истражувачите сметаат дека овие сметки можеби не се легитимни кориснички податоци поради три причини:

Истите акредитиви се користат кај илјадници неповрзани организации.
Некои од лозинките не се појавуваат во вообичаените извори на украдени лозинки.
Корисничките имиња наликуваат на легитимни Fortinet/FortiCloud сервиси, со цел да се вклопат во околината и да не предизвикаат сомнеж.

Продажба на пристап до компромитирани уреди

Во меѓувреме, корисник што зборува руски и се претставува како SantaAd огласил продажба на пристап до илјадници Fortinet уреди по почетна цена од 30.000 долари, која само неколку часа подоцна била зголемена на 60.000 долари. Сепак, засега нема потврда дали ова е директно поврзано со кампањата FortiBleed.

SpyCloud заклучува:

„Групата зад FortiBleed не ги таргетираше само FortiGate VPN решенијата. Тие всушност напаѓаа широк спектар на интернет-изложени уреди користејќи стандарден модел на масовно скенирање и brute-force обиди за најава.“

Употребата на CyberStrike Harvester v1.5 во FortiBleed

Во дополнителен извештај, Arctic Wolf ја опиша FortiBleed како кампања која користи „цевковод за акредитиви“ (credential pipeline) што вклучува:

credential stuffing напади,
password spraying техники,
собирање на конфигурациски датотеки,
офлајн кршење на хешови,
обработка на пресретнати податоци по успешна автентикација.

Според компанијата, откако ќе се добие пристап до FortiGate уред, тој се користи за:

извлекување акредитиви преку повеќе протоколи,
кршење на хеширани лозинки,
пристап до Active Directory и SMB ресурси преку VPN,
ексфилтрација (кражба) на податоци од мрежни споделени ресурси.

Не се користи нова „zero-day“ ранливост

Една од најважните карактеристики на нападите е тоа што тие не користат нова zero-day ранливост.

Според Fortinet, напаѓачите најверојатно:

повторно користат акредитиви украдени во претходни инциденти,
применуваат brute-force напади врз уреди со слаби лозинки,
ги таргетираат системите кај кои не е активирана повеќефакторска автентикација (MFA).

Arctic Wolf нагласува:

„Неговата клучна карактеристика е повратната јамка на акредитивите (credential feedback loop): успешниот почетен пристап создава конфигурациски или мрежни артефакти; тие артефакти генерираат нови акредитиви и хешови што можат да се кршат. Откако лозинките ќе бидат откриени, тие се користат за VPN пристап, Kerberos и SMB автентикација, како и за пристап до мрежни споделени ресурси, што потоа овозможува дополнително собирање и кражба на податоци.“

Кражба на конфигурации и обработка на мрежен сообраќај

Активностите на групата вклучуваат и:

извезување (export) на конфигурациски датотеки од FortiGate уреди изложени на интернет;
кршење на хешовите на лозинките складирани во тие конфигурации;
користење на сопствен пакет алатки за извлекување информации наречен harvest_orig.

Овој пакет ги претвора пасивно собраните мрежни податоци во:

употребливи кориснички имиња и лозинки,
хешови погодни за кршење,
веб-сесии и колачиња (cookies),
информации за дигитални идентитети,
податоци што можат да се користат во понатамошни напади.

CyberStrike Harvester v1.5

Во срцето на овој процес се наоѓа ELF бинарна датотека напишана во Go, која сама се идентификува како CyberStrike Harvester v1.5.

Алатката содржи функции за:

читање на PCAP и PCAPNG датотеки со мрежен сообраќај;
обработка на текстуални излези од FortiGate системи;
анализирање и форматирање на:
- колачиња (cookies),
- сесии,
- токени за автентикација.

Поддржува обработка на податоци поврзани со повеќе од дваесет различни мрежни протоколи, што ѝ овозможува да извлекува чувствителни информации од голем број различни системи и сервиси.

Клучен заклучок

FortiBleed не се потпира на сложени новооткриени ранливости. Наместо тоа, нејзината сила лежи во автоматизираното комбинирање на:

масовно скенирање на интернет-изложени системи,
злоупотреба на слаби или повторно користени лозинки,
пресретнување на автентикациски сообраќај,
кршење на хешови,
повторна употреба на добиените акредитиви за понатамошно ширење низ инфраструктурата.

Овој пристап создава континуиран циклус во кој секој компромитиран систем генерира нови акредитиви што можат да се искористат за дополнителни компромитации.

„Слојот за кршење на лозинки е внимателно дизајниран, а не импровизиран“, додава извештајот. „Telegram бот прима хешови за обработка, го ограничува пристапот врз основа на Telegram корисничкото име, автоматски го препознава типот на хешот, бара дополнителни контекстуални информации, закажува задачи, распределува GPU ресурси, стартува повеќефазни Hashcat процеси, го следи проценетото време за завршување (ETA) и напредокот, а потоа ги враќа успешно откриените лозинки.“

Поддржаните Hashcat режими вклучуваат:

NetNTLMv2
FortiGate256
RAKP
MS-SQL
повеќе формати на Kerberos хешови

Дополнително, Hashtopolis и сопствена платформа наречена HashPanel се користат за управување со дистрибуирано кршење на лозинки, додека специјални скрипти ги подготвуваат GPU работните јазли и нивната регистрација во инфраструктурата.

Злоупотреба на добиените акредитиви

Во случаи кога успешно откриените акредитиви овозможиле пристап до системите, напаѓачите користеле автентицирани SSL-VPN тунели за извршување на различни алатки од пакетот Impacket, со цел:

набројување на Active Directory ресурси,
валидација на Kerberos автентикација,
SMB автентикација,
проверка на административни споделени ресурси (admin shares),
автоматско пребарување на SMB споделени директориуми (SMB share spidering),
собирање податоци преку DFS и SMB протоколи.

Препораки за засегнатите организации

На организациите им се препорачува да преземат следни мерки:

ротирање и промена на сите лозинки и акредитиви;
поништување на активните сесии;
ревизија на извезените конфигурациски датотеки;
анализа на SSL-VPN најавувањата;
проверка на Active Directory и SMB активностите кои потекнуваат од VPN адресни опсези;
скенирање за сомнителни излезни SSH трансфери;
анализа на логовите за пристап до SMB споделени ресурси, особено за масовни рекурзивни читања на датотеки.

Добро организиран систем за компромитација

Компанијата дополнително нагласува:

„FortiBleed покажува како компромитираните акредитиви на периферијата на мрежата можат да доведат до целосно изложување на внатрешната мрежна инфраструктура. Најважното откритие е инженерската дисциплина зад целиот процес.“

Истражувачите забележуваат дека:

лабораторијата на операторите,
панелот за следење на sniffer алатките,
CyberStrike Harvester,
скриптите за чистење и обработка,
инфраструктурата базирана на Hashcat и Hashtopolis,
алатките за тестирање на Kerberos,
системите за збогатување на податоци за домени, папки и приходи,
како и SMB и DFS алатките,

формираат целосно автоматизиран и повторливо употреблив систем за компромитација и експлоатација на цели.

Масовно пребарување на цели низ интернет

Компанијата CloudSEK ја опиша активноста како:

„Недискриминирачко, интернет-широко пребарување на цели.“

Според нив, целиот сет на алатки создаден од напаѓачите генерира каталог на системи за далечински пристап, сортирани според потенцијалната финансиска вредност на жртвите, со голема веројатност подоцна да бидат продавани на подземните сајбер-криминални пазари.

CloudSEK дополнително открила дека во пронајдените директориуми се наоѓала најмалку една активна SSL-VPN конфигурациска датотека што водела кон мрежа на жртва.

Ова, според истражувачите, потврдува дека операторите не поседувале само листи со откриени лозинки, туку и реален, активен и употреблив пристап до компромитираните системи.

Извори:

The Hacker News – FortiBleed Targeted FortiGate Firewalls in 110 Million-Credential Harvesting Operation The Hacker News