Uma operação de cibercrime de grande escala, batizada de FortiBleed, está comprometendo mais de 430.000 firewalls FortiGate em todo o mundo, resultando na exfiltração silenciosa de mais de 110 milhões de credenciais desde fevereiro de 2026. A campanha, investigada pela unidade de pesquisa de ameaças da SOCRadar (STRU), representa uma das operações de coleta de credenciais mais extensas já documentadas contra dispositivos de perímetro de rede.
Descoberta e escopo da campanha
O ator de ameaça, avaliado como um Corredor de Acesso Inicial (IAB) motivado por ganhos financeiros, operou continuamente até meados de junho de 2026. A infraestrutura do ataque permanece parcialmente ativa, com 659 ciclos de colheita discretos registrados. Comentários no código-fonte com alfabeto cirílico sugerem uma possível origem russa, com ligações potenciais a grupos de ransomware ou atores patrocinados por estados.
A CISA emitiu um alerta urgente recomendando que as organizações protejam seus dispositivos Fortinet após os relatos de exposição em larga escala de credenciais. A campanha expôs 23.406 domínios únicos em 80.553 aparelhos FortiGate, com 66% das vítimas tendo menos de 200 funcionários, organizações grandes o suficiente para implantar firewalls corporativos, mas tipicamente sem operações de segurança dedicadas.
Como funciona a ferramenta FortigateSniffer
A arma central da operação é o FortigateSniffer (também rastreado como fg_sniffer), uma ferramenta baseada em Golang compilada para Linux e Windows. Diferente de malware tradicional, a ferramenta abusa do comando de diagnóstico nativo do FortiOS, diagnose sniffer packet, para interceptar passivamente todo o tráfego de autenticação que atravessa um firewall comprometido.
O tráfego é capturado em 24 protocolos, incluindo RADIUS, NTLM, Kerberos, LDAP, RDP, SMB, MSSQL, FTP, Telnet e WinRM. Uma vez capturado, o output bruto do terminal SSH é convertido em formato .pcapng pelo motor SNIFTRAN e processado por um toolkit de análise profunda de PCAP (v5.0) que extrai credenciais em texto claro, hashes NTLMv2, tickets Kerberos TGS/ASREP e cookies de sessão.
A ferramenta incorpora duas técnicas de evasão sofisticadas: filtragem baseada em GeoIP e agendamento de horário comercial, restringindo a captura ativa para o período das 07:00 às 18:00 (horário de Moscou) para minimizar alertas de anomalia durante horários fora do expediente.
Fases do ciclo de vida do ataque
A operação segue um ciclo de vida metódico de cinco fases, demonstrando um alto nível de planejamento e valorização econômica dos alvos:
- Fase 1 — Reconhecimento e obtenção de credenciais: Os atacantes usaram Masscan para varreduras de portas amplas, Shodan_Recon para enriquecimento passivo via metadados de SSL/certificado e FortiProbe-fast para classificar alvos. Scripts personalizados ranquearam os alvos por receita corporativa antes de qualquer exploração.
- Fase 2 — Pareamento e acesso inicial: Ferramentas geraram arquivos de combinação de credenciais host para ataques de força bruta SSH contra contas administrativas do FortiGate e
forticheckpara preenchimento de credenciais no portal SSLVPN. - Fase 3 — Implantação e colheita do Sniffer: Com credenciais SSH válidas, os atacantes injetaram o FortigateSniffer, transformando o dispositivo em um ouvinte passivo. 6.127 dispositivos foram carregados em implantações observadas, com uma taxa de validação SSH de 90%.
- Fase 4 — Quebra e movimento lateral: Hashes coletados foram quebrados via cluster de GPU Hashtopolis gerenciado pelo atacante. Ferramentas de movimento lateral, como
spray_da.pyespider.py, foram usadas para se mover em ambientes de Active Directory. - Fase 5 — Exfiltração: O script
backup_dfs.pyextraiu recursivamente compartilhamentos DFS completos via SMB e os transmitiu diretamente para servidores SSH do atacante sem staging local. Em 15 de junho de 2026, após a quebra offline de 172 hashes Kerberos RC4, o ator executou uma exfiltração direcionada contra um contratante de defesa alinhado à OTAN.
Impacto e alcance global
O setor de serviços de TI é o dominante entre as vítimas (8,4%), uma escolha deliberada para maximizar o acesso downstream em ambientes de clientes. A distribuição geográfica é liderada pela Índia (11,4%) e pelos Estados Unidos (10,1%), seguida por Taiwan, México e Turquia. A campanha continua ativa, com diretórios de resultados de colheita sendo atualizados regularmente.
Recomendações de mitigação e CISA
Diante da gravidade da ameaça, a CISA e a SOCRadar recomendam medidas imediatas para proteger a infraestrutura de rede:
- Revogar e redefinir todas as credenciais administrativas de firewalls FortiGate expostos ou suspeitos de comprometimento.
- Implementar autenticação multifator (MFA) para acesso administrativo SSH e SSLVPN.
- Monitorar logs de diagnóstico e tráfego de rede para padrões de captura de pacotes incomuns.
- Aplicar patches de segurança mais recentes para o FortiOS e revisar configurações de firewall para restringir acesso SSH a IPs de gerenciamento confiáveis.
- Realizar varreduras de ativos para identificar dispositivos FortiGate expostos publicamente e garantir que não estejam acessíveis sem proteção adequada.
O que os CISOs devem fazer agora
Executivos de segurança devem priorizar a revisão de inventários de dispositivos de perímetro e validar a integridade das credenciais de acesso administrativo. A exfiltração de credenciais de nível de rede pode levar a movimentos laterais profundos dentro da rede corporativa, comprometendo dados sensíveis e sistemas críticos. A vigilância contínua e a resposta rápida são essenciais para conter os danos desta campanha de larga escala.